Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Résumé

Cet article décrit une modification de la stratégie de sécurité qui s’applique à partir de Windows 10 version 1709 et Windows Server 2016 version 1709. Conformément à la nouvelle stratégie, seul un utilisateur qui est un administrateur local sur un ordinateur distant peut démarrer ou arrêter des services sur cet ordinateur.

Cet article explique également comment désactiver cette nouvelle stratégie pour des services individuels.

Informations supplémentaires

Une erreur de sécurité courante est de configurer les services afin qu’ils utilisent un descripteur de sécurité trop permissif (voir l’article Service Security and Access Rights - en anglais uniquement), et d’accorder dès lors par inadvertance l’accès à un nombre d’appelants distants plus important que prévu. Par exemple, il n’est pas rare de trouver des services qui accordent l’autorisation SERVICE_START ou SERVICE_STOP à des utilisateurs authentifiés. L’objectif est généralement d’octroyer ces droits à des utilisateurs non-administrateurs locaux uniquement, mais les utilisateurs authentifiés comprennent également chaque compte d’utilisateur ou d’ordinateur dans la forêt Active Directory, que ce compte soit membre du groupe Administrateurs sur l’ordinateur distant ou local. Ces autorisations excessives pourraient être utilisées de manière abusive et faire des ravages sur tout un réseau.

En raison de la généralisation et de la gravité potentielle de ce problème, ainsi que de la pratique de sécurité moderne qui suppose qu’un domaine suffisamment grand contient des ordinateurs compromis, un nouveau paramètre de sécurité système a été introduit pour exiger que les appelants distants soient également des administrateurs locaux sur l’ordinateur pour qu’ils puissent demander les autorisations des services suivantes :

SERVICE_CHANGE_CONFIG
SERVICE_START
SERVICE_STOP
SERVICE_PAUSE_CONTINUE
DELETE
WRITE_DAC
WRITE_OWNER

Selon ce nouveau paramètre de sécurité, les appelants distants doivent également être des administrateurs locaux sur l’ordinateur pour demander l’autorisation de gestionnaire de contrôle des services suivante :

SC_MANAGER_CREATE_SERVICE

Remarque Ce contrôle d’administrateur local s’ajoute au contrôle d’accès existant sur le service ou le descripteur de sécurité de contrôleur de service. Ce paramètre a été introduit dans Windows 10 version 1709 et Windows Server 2016 version 1709. Par défaut, ce paramètre est activé.

Ce nouveau contrôle pourrait poser des problèmes pour certains clients qui disposent de services devant être démarrés ou arrêtés à distance par des utilisateurs non-administrateurs. Si nécessaire, vous pouvez désactiver cette stratégie pour des services individuels en ajoutant le nom du service concerné à la valeur de Registre REG_MULTI_SZ RemoteAccessCheckExemptionList dans l’emplacement de Registre suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Pour cela, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez et sélectionnez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

    Remarque     Si la sous-clé n’existe pas, vous devez la créer : dans le menu Edition, pointez sur Nouveau, puis sélectionnez Clé. Tapez le nom de la nouvelle sous-clé, puis appuyez sur Entrée.

  3. Dans le menu Edition, pointez sur Nouveau, puis sélectionnez Valeur REG_MULTI_SZ.

  4. Tapez RemoteAccessCheckExemptionList comme nom pour la valeur REG_MULTI_SZ, puis appuyez sur Entrée.

  5. Double-cliquez sur la valeur RemoteAccessCheckExemptionList , tapez le nom du service à exempter de la nouvelle stratégie, puis cliquez sur OK.

  6. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

Si un administrateur souhaite désactiver ce nouveau contrôle de manière globale pour rétablir l’ancien comportement moins sécurisé, il peut définir une valeur différente de zéro pour la valeur de Registre REG_DWORD RemoteAccessExemption dans l’emplacement de Registre suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Remarque La définition temporaire de cette valeur peut permettre de déterminer rapidement si ce nouveau modèle d’autorisation est la cause de problèmes de compatibilité d’application.

Pour cela, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Dans le menu Edition, pointez sur Nouveau, puis sélectionnez Valeur REG_DWORD (32 bits).

  4. Tapez RemoteAccessExemption comme nom pour la valeur REG_DWORD, puis appuyez sur Entrée.

  5. Double-cliquez sur la valeur RemoteAccessExemption, entrez 1 dans le champ Données de la valeur, puis cliquez sur OK.

  6. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×