Protection du compte Administrateur dans le Gestionnaire de comptes de sécurité hors connexion

Traductions disponibles Traductions disponibles
Numéro d'article: 223301 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F223301
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article aborde les problèmes de sécurité du Gestionnaire de comptes de sécurité (SAM) hors connexion et des comptes qu'il contient.

Les contrôleurs de domaine Windows 2000 stockent les comptes d'utilisateur du domaine, les membres des groupes et d'autres objets dans l'annuaire Active Directory. L'outil de sauvegarde de Windows 2000 ainsi que d'autres programmes tiers de sauvegarde peuvent sauvegarder l'annuaire Active Directory basé sur Jet sur un contrôleur de domaine Windows 2000 en ligne.

La maintenance du système et la restauration de l'annuaire Active Directory ne peuvent être exécutées qu'en plaçant l'annuaire Active Directory "hors connexion" ou en mode "Restauration des services d'annuaire". Ce mode, qui utilise une base de données de comptes SAM basée sur le Registre pour stocker le compte Administrateur et d'autres utilisateurs et groupes intégrés, représente un contexte de sécurité différent de l'annuaire Active Directory.

Plus d'informations

Création du Gestionnaire de comptes de sécurité basé sur le Registre

Microsoft Windows NT version 4.0 et antérieure stocke les comptes d'utilisateurs et d'ordinateurs ainsi que les informations de groupes dans un Gestionnaire de comptes de sécurité (SAM) basé sur le Registre. Lors de la mise à niveau d'un contrôleur principal de domaine (PDC) Windows NT 4.0 vers Windows 2000, DCPROMO démarre à la fin du programme d'installation de Windows 2000. Les comptes du SAM sont migrés vers l'annuaire Active Directory basé sur le moteur Jet. Un nouveau SAM basé sur le Registre et contenant le compte Administrateur "hors connexion" (et les autres comptes intégrés nécessaires pour la récupération des contrôleurs de domaine Windows 2000) est créé. Les comptes du SAM basé sur le Registre sont disponibles uniquement en mode Restauration des services d'annuaire en appuyant sur F8 dans la première phase du processus de démarrage. Le SAM basé sur le Registre est stocké dans le dossier %SYSTEMROOT%\SYSTEM32\CONFIG.

Pour les nouveaux domaines Windows 2000, la base de données de l'annuaire Active Directory est créée et remplie par les utilisateurs et groupes par défaut. Le même type Windows NT version 4.0 de SAM basé sur le Registre utilisé dans le scénario de mise à niveau de Windows NT est créé dans le dossier %SYSTEMROOT%\SYSTEM32\CONFIG.

Sécurisation du SAM hors connexion

Les méthodes de protection du SAM hors connexion sont identiques à celles utilisées dans Windows NT 4.0. Les administrateurs soucieux de sécuriser le SAM hors connexion peuvent envisager les procédures suivantes :

  1. Maintenez un mot de passe différent pour l'administrateur dans le service Annuaire et le compte Administrateur dans le SAM hors connexion. Comme stratégie, il est recommandé d'utiliser un mot de passe différent pour le compte Administrateur de l'annuaire Active Directory et le compte Administrateur hors connexion.

    Les mots de passe en ligne et hors connexion seront différents dès la première modification du mot de passe du compte Administrateur Active Directory.
  2. Évaluez le risque, puis développez une stratégie de modification du mot de passe pour des comptes critiques tels que les comptes Administrateur hors connexion et Active Directory en appliquant des règles de mot de passe strictes.
  3. Le SAM hors connexion n'est pas accessible par programmation lorsqu'un contrôleur de domaine Windows 2000 est exécuté en mode Active Directory. Pour implémenter une stratégie stricte de modification du mot de passe pour le compte Administrateur hors connexion :

    1. Démarrez le contrôleur de domaine Windows 2000 en mode Restauration des services d'annuaire.
    2. Modifiez le mot de passe pour le ou les comptes.
    3. Démarrez en mode Active Directory.
    Le temps de fonctionnement réel du serveur est utilisé comme intervalle de modification du mot de passe pour le compte Administrateur hors connexion.
  4. Activez la surveillance du fichier SAM situé dans le dossier %WINDIR%\SYSTEM32\CONFIG. Toute utilisation autre que la sauvegarde du système ou une analyse antivirus doit être étudiée.

    REMARQUE : N'appliquez pas les procédures décrites dans les articles suivants dans la Base de connaissances Microsoft :

    184017Les administrateurs peuvent afficher le contenu des mots de passe des comptes services
    143475La clé système Windows NT permet un cryptage fort du SAM
  5. La sécurisation physique de l'ordinateur, les disquettes de réparation d'urgence et les bandes de sauvegarde constituent un composant essentiel d'un environnement sécurisé.

La perte de service observée par les administrateurs lorsqu'ils ne peuvent pas entrer le mot de passe du compte Administrateur hors connexion peut être plus importante que celle rencontrée lors d'attaques contre le SAM hors connexion. Définissez un processus interne pour le stockage et la récupération des mots de passe Administrateur qui ne met pas à risque la sécurité mais qui conserve les mots de passe à disposition pour la maintenance et la restauration du système. Gardez à l'esprit le fait que les serveurs sont souvent reconstruits en dehors des heures de pointe, et ce des mois voire des années après l'installation d'origine du système d'exploitation.

Vous pouvez modifier le mot de passe du SAM hors connexion à distance à l'aide du mode d'administration à distance de Windows NT Terminal Server, en basculant le commutateur Boot.ini entre les modes de démarrage Restauration hors connexion et Active Directory.

Propriétés

Numéro d'article: 223301 - Dernière mise à jour: jeudi 15 janvier 2004 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbinfo kbtool KB223301
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com