Empêcher les appelants distants qui ne sont pas administrateurs locaux de démarrer/arrêter des services

Résumé

Cet article décrit une modification de la stratégie de sécurité qui s’applique à partir de Windows 10 version 1709 et Windows Server 2016 version 1709. Conformément à la nouvelle stratégie, seul un utilisateur qui est un administrateur local sur un ordinateur distant peut démarrer ou arrêter des services sur cet ordinateur.

Cet article explique également comment désactiver cette nouvelle stratégie pour des services individuels.

Informations supplémentaires

Une erreur de sécurité courante est de configurer les services afin qu’ils utilisent un descripteur de sécurité trop permissif (voir l’article Service Security and Access Rights - en anglais uniquement), et d’accorder dès lors par inadvertance l’accès à un nombre d’appelants distants plus important que prévu. Par exemple, il n’est pas rare de trouver des services qui accordent l’autorisation SERVICE_START ou SERVICE_STOP à des utilisateurs authentifiés. L’objectif est généralement d’octroyer ces droits à des utilisateurs non-administrateurs locaux uniquement, mais les utilisateurs authentifiés comprennent également chaque compte d’utilisateur ou d’ordinateur dans la forêt Active Directory, que ce compte soit membre du groupe Administrateurs sur l’ordinateur distant ou local. Ces autorisations excessives pourraient être utilisées de manière abusive et faire des ravages sur tout un réseau.

En raison de la généralisation et de la gravité potentielle de ce problème, ainsi que de la pratique de sécurité moderne qui suppose qu’un domaine suffisamment grand contient des ordinateurs compromis, un nouveau paramètre de sécurité système a été introduit pour exiger que les appelants distants soient également des administrateurs locaux sur l’ordinateur pour qu’ils puissent demander les autorisations des services suivantes :

SERVICE_CHANGE_CONFIG
SERVICE_START
SERVICE_STOP
SERVICE_PAUSE_CONTINUE
DELETE
WRITE_DAC
WRITE_OWNER

Selon ce nouveau paramètre de sécurité, les appelants distants doivent également être des administrateurs locaux sur l’ordinateur pour demander l’autorisation de gestionnaire de contrôle des services suivante :

SC_MANAGER_CREATE_SERVICE

Remarque Ce contrôle d’administrateur local s’ajoute au contrôle d’accès existant sur le service ou le descripteur de sécurité de contrôleur de service. Ce paramètre a été introduit dans Windows 10 version 1709 et Windows Server 2016 version 1709. Par défaut, ce paramètre est activé.

Ce nouveau contrôle pourrait poser des problèmes pour certains clients qui disposent de services devant être démarrés ou arrêtés à distance par des utilisateurs non-administrateurs. Si nécessaire, vous pouvez désactiver cette stratégie pour des services individuels en ajoutant le nom du service concerné à la valeur de Registre REG_MULTI_SZ RemoteAccessCheckExemptionList dans l’emplacement de Registre suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Pour cela, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez et sélectionnez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

    Remarque
    Si la sous-clé n’existe pas, vous devez la créer : dans le menu Edition, pointez sur Nouveau, puis sélectionnez Clé. Tapez le nom de la nouvelle sous-clé, puis appuyez sur Entrée.

  3. Dans le menu Edition, pointez sur Nouveau, puis sélectionnez Valeur REG_MULTI_SZ.

  4. Tapez RemoteAccessCheckExemptionList comme nom pour la valeur REG_MULTI_SZ, puis appuyez sur Entrée.

  5. Double-cliquez sur la valeur RemoteAccessCheckExemptionList , tapez le nom du service à exempter de la nouvelle stratégie, puis cliquez sur OK.

  6. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

Si un administrateur souhaite désactiver ce nouveau contrôle de manière globale pour rétablir l’ancien comportement moins sécurisé, il peut définir une valeur différente de zéro pour la valeur de Registre REG_DWORD RemoteAccessExemption dans l’emplacement de Registre suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Remarque La définition temporaire de cette valeur peut permettre de déterminer rapidement si ce nouveau modèle d’autorisation est la cause de problèmes de compatibilité d’application.

Pour cela, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Dans le menu Edition, pointez sur Nouveau, puis sélectionnez Valeur REG_DWORD (32 bits).

  4. Tapez RemoteAccessExemption comme nom pour la valeur REG_DWORD, puis appuyez sur Entrée.

  5. Double-cliquez sur la valeur RemoteAccessExemption, entrez 1 dans le champ Données de la valeur, puis cliquez sur OK.

  6. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×