Windows Server 2012 R2 – Se protéger des accès anonymes

I. Présentation

La sécurité de votre système d'information ne doit pas être négligée, et, lorsque l'on utilise un système d'exploitation tel que Windows Server dans un environnement Active Directory des mesures de sécurité sont à prendre, la protection contre les accès anonymes en fait partie.

Sous Windows Server 2012 R2, 4 paramètres de stratégies de groupe doivent être configurés correctement afin de vous protéger des accès anonymes. Par exemple, cela évitera qu'un utilisateur anonyme puisse énumérer les comptes utilisateurs d'une base SAM ou encore les partages situés sur un système. Les 4 paramètres que nous verrons dans cet article sont des préconisations effectuées par Microsoft afin de sécuriser son infrastructure.

Effectuer ce paramétrage permettra de rendre plus difficile la découverte de votre infrastructure, on est pas là pour faciliter le travail d'un éventuel attaquant !

Dans le cadre de ce tutoriel, j'effectue les modifications au sein d'une stratégie locale sur un serveur Windows Server 2012 R2. Vous pouvez très bien implémenter ce paramétrage au sein d'une GPO à déployer sur vos différents serveurs.

II. Configuration

L'ensemble des paramètres que nous allons voir sont accessible dans la console "secpol.msc" puis :

Stratégies locales > Options de sécurité

Dans le cadre d'un domaine, parcourez l'arborescence des stratégies de groupe comme ceci :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Options de sécurité

A. Accès réseau : Permet la traduction de noms/SID anonymes

Il est important de désactiver ce paramètre, sinon, un anonyme peut à partir d'un SID d'utilisateur demander à connaître le nom de cet utilisateur au niveau de l'annuaire, et donc, potentiellement le nom de connexion de cet utilisateur. Ainsi, on peut imaginer qu'il finira par découvrir le nom de compte d'un Administrateur, même s'il a était renommé. Par sécurité, il est intéressant d'interdire ce type de traduction.

Note : La traduction anglaise de ce paramètre est : "Network access: Allow anonymous SID/Name translation".

anonyme1

 

B. Accès réseau : Ne pas autoriser l'énumération anonyme des comptes SAM

En interdisant les anonymes d'effectuer cette action d'énumération, c'est-à-dire en activant ce paramètre, cela aura pour impact de remplacer l'autorisation "Tout le monde" par "Utilisateurs authentifiés" concernant la lecture de cette ressource.

Note : La traduction anglaise de ce paramètre est : "Network access: Do not allow anonymous enumeration of SAM accounts"

Ce paramètre n'aura aucun impact sur un serveur contrôleur de domaine, car sa base SAM est inactive comme il joue le rôle d'annuaire.

anonyme2

C. Accès réseau : ne pas autoriser l'énumération anonyme des comptes et partages SAM

Sur le même principe que le paramètre précédent, mais cette fois-ci pour les partages situés sur votre machine. Vous devez activer ce paramètre.

Note : La traduction anglaise de ce paramètre est : "Network access: Do not allow anonymous enumeration of SAM accounts and Shares"

anonyme3

D. Accès réseau : les autorisations Tout le monde s'appliquent aux utilisateurs anonymes

Si ce paramètre est actif dans votre stratégie, le SID du groupe "Tout le monde" est ajouté automatiquement au jeton qui est créé pour les connexions anonymes. Ce qui implique que les utilisateurs peuvent accéder à toutes les ressources pour lesquelles le groupe "Tout le monde" dispose d'autorisations. Il est nécessaire de s'assurer que ce paramètre est bien désactivé.

Note : La traduction anglaise de ce paramètre est : "Network access: Let Everyone permissions apply to anonymous users"

anonyme4

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 2010 posts and counting.See all posts by florian

2 pensées sur “Windows Server 2012 R2 – Se protéger des accès anonymes

  • Bonjour,
    Merci pour votre tuto.
    Je suis également sous Windows Server 2012 R2.
    Les paramètres que vous indiquez semblent correspondre à ceux définis par défaut pour le serveur.
    En revanche, contrairement à ce qui paraît sur vos captures d’écran, je n’ai pas la case à cocher « Définir ce paramètre de stratégie ». Je ne sais donc pas si cette valeur est activée ou pas, ni à quoi elle correspond vraiment, d’ailleurs.
    Bien à vous.

    Répondre
  • Super ces sites qui ne répondent jamais aux lecteurs…..
    Merci quand même pour ces informations.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.