Meilleures pratiques pour la gestion sécurisée des comptes locaux sous Windows 11

  • La séparation des comptes utilisateurs et administrateurs, l'application du principe du moindre privilège et l'utilisation de l'option « Exécuter en tant que » réduisent considérablement l'impact des logiciels malveillants et des erreurs humaines.
  • LAPS protège les comptes d'administrateur local avec des mots de passe uniques et robustes, à condition que les autorisations de lecture dans AD soient strictement restreintes et auditées.
  • Les politiques de verrouillage des mots de passe et des comptes sous Windows permettent d'imposer des mots de passe longs, complexes et à rotation contrôlée, ce qui rend plus difficile les attaques par force brute et la réutilisation des mots de passe.
  • La restriction des lieux de connexion des comptes privilégiés, l'utilisation de cartes à puce et l'audit de l'utilisation des identifiants critiques renforcent la sécurité et la traçabilité sur l'ensemble du réseau.
Joaquin Romero

Minutes 14

Gérer les comptes locaux dans Windows 11

La protection des comptes locaux et des comptes d'administrateur sous Windows 11 n'est plus optionnelle : elle est aujourd'hui obligatoire si vous ne voulez pas que vos comptes soient compromis. Une seule machine compromise peut entraîner la paralysie de tout votre domaine.De plus, il est judicieux de vérifier si vos comptes ont été compromis.

Le secret est de bien combiner toutes les pièces : Les administrateurs locaux étaient gérés avec LAPS, les comptes de domaine disposaient des privilèges minimaux, de mots de passe robustes et de politiques de verrouillage cohérentes.Si vous ajoutez à cela des procédures claires (qui peut faire quoi, d'où et comment l'audit est effectué), vous disposerez d'une base très solide pour gérer en toute sécurité les comptes locaux sous Windows 11.

Pourquoi les comptes administrateurs et les comptes locaux sont-ils si dangereux ?

Les comptes disposant de privilèges élevés sont des proies faciles pour tout attaquant car Ils ont un accès complet à l'ordinateur et, souvent, à l'ensemble du domaine.Cela s'applique aussi bien à l'administrateur local classique qu'aux groupes de niveau supérieur dans Active Directory.

Dans un environnement de domaine typique, vous trouverez au moins ces types de comptes et de groupes ayant un impact important sur la sécurité :

Il est vrai que les systèmes nouvellement installés sont plus rapides.
Article connexe:
Vérifiez si vos comptes ont été compromis et protégez-vous rapidement.
  • comptes d'administrateur local: l'élément intégré de chaque équipe (vous pouvez activer le compte administrateur caché) et tout utilisateur ajouté au groupe Administrateurs local. Ils disposent d'un contrôle absolu sur le système sur lequel ils se trouvent.
  • Administrateurs de domaine: comptes du groupe Administrateurs du domaine, disposant d'autorité sur tous les ordinateurs membres de ce domaine.
  • administrateurs forestiers: dans le domaine racine de la forêt, avec un contrôle sur tous les domaines et, en pratique, sur l'ensemble de l'infrastructure AD.
  • Administrateurs de régimes et autres groupes spéciauxIls peuvent modifier le schéma AD, gérer les GPO au niveau de la forêt, émettre des certificats, etc. Toute erreur à ce niveau a un effet domino.

Le problème ne se limite pas aux attaques externes. Les utilisateurs internes disposant de trop d'autorisations ou de connaissances insuffisantes peuvent également causer des dégâts considérables.: supprimer des données critiques, mal configurer les contrôleurs de domaine, désactiver l'antivirus ou ouvrir par inadvertance la porte à des logiciels malveillants.

Si vous prenez également l'habitude de toujours travailler connecté en tant qu'administrateur, vous livrez pratiquement votre ordinateur à n'importe quel code malveillant : Le logiciel malveillant s'exécutera avec les mêmes privilèges que votre session.Il pourra créer des utilisateurs, extraire des hachages, se déplacer latéralement et, avec un peu de chance, étendre son action à l'ensemble du domaine. Pour réduire les vecteurs de compromission physique, il est recommandé de consulter les recommandations suivantes : Mesures pratiques pour protéger votre ordinateur contre les clés USB malveillantes.

Types de comptes d'administration à surveiller

En pratique, lors de la planification de la sécurité sous Windows 11 dans un environnement d'entreprise, on s'intéresse à trois grandes catégories de comptes privilégiés :

  • comptes d'administrateur local sur les postes de travail et les serveurs des membres. Cela inclut le compte Administrateur intégré et tous les autres utilisateurs du groupe Administrateurs local.
  • comptes d'administrateur de domaine, généralement des membres du groupe Administrateurs de domaine, qui disposent souvent également de privilèges locaux sur de nombreux serveurs critiques.
  • gestionnaires forestiers (membres du groupe Administrateurs de l'organisation et, dans certains cas, administrateurs de schéma) qui peuvent accéder aux forêts, aux domaines, aux autorités de certification, aux cartes à puce, etc.

À ceux-ci, il faut ajouter un sous-type très délicat : comptes associés aux certificats d'agent (Agent de récupération EFS, inscription, récupération de clés, etc.). Ces outils peuvent servir à usurper l'identité d'autrui, à inscrire des cartes à puce pour d'autres utilisateurs ou à déchiffrer des données. Ils doivent être soumis à des politiques de sécurité encore plus strictes que les comptes d'administrateur classiques.

Bonnes pratiques fondamentales : principe du moindre privilège et séparation des tâches

Le principe qui vous offrira le plus de sécurité avec le moins d'efforts est celui de privilèges minimauxChaque utilisateur, service ou équipe doit disposer des autorisations strictement nécessaires, ni plus ni moins. Mais cette règle doit être appliquée rigoureusement, et pas seulement dans des présentations PowerPoint.

L’application des privilèges minimaux implique plusieurs décisions pratiques :

  • Deux comptes par administrateurVous devriez disposer d'un compte utilisateur principal pour vos activités quotidiennes (messagerie, navigation web, applications bureautiques) et d'un autre exclusivement dédié aux tâches administratives. Ce dernier ne doit pas être utilisé pour consulter vos courriels ni pour naviguer sur Internet.
  • Utilisation systématique de l'option « Exécuter en tant que » (Runas ou service d'ouverture de session secondaire) Au lieu de travailler connecté en tant qu'administrateur, vous lancez la console ou l'outil avec des identifiants élevés et le tour est joué.
  • N’accordez pas de privilèges de domaine là où ils ne sont pas nécessaires.Un compte disposant de droits sur une forêt ne confère pas nécessairement des droits sur une autre, même s'il existe une relation de confiance entre elles.
  • Examen périodique de l'appartenance à des groupes privilégiés, en supprimant les comptes et les groupes qui ne sont plus utilisés ou qui disposent de permissions excessives.
  Comment vérifier l'intégrité d'une image ISO sous Windows à l'aide de sommes de contrôle et de signatures GPG

En outre, il est fortement recommandé Distinguez clairement les rôles d'administrateur de domaine et d'administrateur d'organisation.Vous pouvez opter pour un compte unique et hautement protégé pour les administrateurs de l'organisation, ou mieux encore, le créer uniquement lorsqu'une tâche l'exige, l'utiliser, puis le supprimer immédiatement après.

LAPS : Avantages et risques réels si vous ne le configurez pas correctement

Gérer les comptes locaux dans Windows 11

LAPS (Local Administrator Password Solution et sa version moderne, Windows LAPS) résout l'un des problèmes classiques de nombreux réseaux : le même mot de passe d'administrateur local sur tous les ordinateursCette pratique est une recette parfaite pour les déplacements latéraux : vous compromettez un PC, vous récupérez les hachages, vous vous les transmettez, et vous pouvez passer d’une machine à l’autre.

Avec LAPS, chaque équipe du domaine dispose de un mot de passe unique, long et aléatoire pour votre compte d'administrateur localStockés de manière chiffrée dans Active Directory et faisant l'objet d'une rotation automatique, les fichiers présentent des avantages indéniables :

  • Atténue les attaques par transmission de données et par transfert de ticketsSi un attaquant vole le hachage de l'administrateur local d'une machine, celui-ci ne fonctionnera que sur cette machine.
  • Facilite le sauvetage des équipementsSi un PC est déconnecté du domaine ou si le profil utilisateur est corrompu, vous disposez d'identifiants d'administrateur local ultra-robustes pour vous connecter et résoudre le problème.
  • Élimine le besoin de partager les mots de passe « maîtres » locaux parmi les techniciens, avec tous les risques que cela comporte en matière de sécurité.

Cependant, ce n'est pas de la magie. Pour que cela fonctionne, il faut que Disposer de comptes (ou de groupes) ayant l'autorisation de lire ces mots de passe dans Active DirectoryEt c'est là que la peur s'installe : si quelqu'un vole ces identifiants disposant des autorisations de lecture LAPS, il peut extraire un par un les mots de passe locaux de l'ensemble du parc.

Pour que LAPS devienne un avantage net et non une nouvelle vulnérabilité, il est essentiel de considérer ces autorisations de lecture comme une ressource précieuse :

  • Un très petit groupe de techniciens agréés (idéalement des groupes de sécurité dédiés dans AD) avec des autorisations de lecture d'attributs LAPS uniquement dans les unités d'organisation qui en ont besoin.
  • Audit rigoureux Qui consulte quel mot de passe et à quel moment ? Cela vous permet de suivre les informations et de vérifier qui dispose de privilèges élevés à un instant donné.
  • N’utilisez jamais ces comptes disposant d’autorisations LAPS pour les tâches quotidiennes.Utilisez des comptes d'administration dédiés ou une administration juste-à-temps/juste-à-suffisante si votre environnement le permet.

Et une question importante : LAPS signifie-t-il que vous n’avez plus besoin d’administrateurs de domaine locaux sur les ordinateurs ? Pas nécessairementLa solution la plus judicieuse consiste à combiner :

  • Un Administrateur local géré par LAPS pour les incidents, les sauvetages et les tâches très spécifiques.
  • Un ou plusieurs groupes de domaine attribués au groupe Administrateurs local via une stratégie de groupe pour les tâches de support, le déploiement de logiciels, l'analyse des vulnérabilités, etc.

Cela vous offre la flexibilité nécessaire pour des outils tels que les scanners de vulnérabilités ou les systèmes de déploiement, mais Vous ne dépendez pas d'une seule authentification locale clonée sur l'ensemble du réseau..

Comment maintenir la visibilité : qui fait quoi lorsqu’ils augmentent leurs privilèges ?

Une question légitime se pose : si vous utilisez LAPS avec un seul compte d’administrateur local par ordinateur, comment contrôlez-vous ? qui a utilisé ce compteDu point de vue de la comptabilité et de l'audit, il ne faut pas créer un système « fourre-tout » où tout le monde entre avec la même identité sans laisser de trace.

La solution réside dans la combinaison de plusieurs mesures :

  • N’utilisez la session interactive directe avec l’administrateur local qu’en cas d’extrême nécessité.Idéalement, les techniciens devraient s'authentifier avec leurs propres comptes nominatifs (de domaine) et n'utiliser les informations d'identification locales que pour les tâches qui le nécessitent.
  • Auditer les événements de connexion (Interactif, RDP, utilisation de Runas, etc.) sur les postes de travail et les serveurs. Vous pouvez centraliser les journaux dans un SIEM ou sur un serveur de collecte d'événements.
  • Associez la lecture du mot de passe LAPS à une demande de modification ou à un ticket.Si un outil ou un portail interne exige une justification quant à la raison pour laquelle le mot de passe d'un appareil est consulté, alors la traçabilité est déjà assurée.

En définitive, si un technicien doit consulter le mot de passe LAPS dans AD, il doit en rester une trace : qui en a fait la demande, pour quelle équipe et à quelle heureCela compense en partie le fait que la session qui sera ensuite lancée sur l'ordinateur se fera avec le compte local « impersonnel ».

  Boostez votre productivité grâce à ces paramètres cachés de Windows 11

Stratégie de compte sous Windows 11 : profils multi-utilisateurs et séparés

Au-delà du niveau de l'entreprise, cela s'avère payant même à la maison ou dans les petites entreprises. Créez un utilisateur différent pour chaque personne ou rôle.Partager systématiquement le même compte (et a fortiori le compte administrateur) est une mauvaise idée pour plusieurs raisons :

  • Confidentialité zéroN'importe qui peut voir vos fichiers, votre historique de navigation, vos e-mails ouverts dans les clients locaux, etc.
  • Risques liés aux logiciels malveillants et modifications de configurationSi tout le monde est administrateur, un utilisateur inexpérimenté peut installer des logiciels malveillants ou désactiver des options essentielles.
  • Manque de traçabilitéEn milieu professionnel, si tout le monde utilise « PCVentas » avec le même compte, il est impossible de savoir qui a effectué quelle modification.

Windows 11 simplifie considérablement la gestion des utilisateurs :

  • Comptes locauxIdéal si la protection de votre vie privée vous préoccupe et que vous ne souhaitez pas que toutes vos activités transitent par l'identité en ligne de Microsoft. Convient parfaitement aux PC partagés, aux environnements dotés de leurs propres politiques ou lorsque l'intégration aux services Microsoft 365 n'est pas nécessaire.
  • Comptes MicrosoftIls synchronisent les paramètres, les identifiants et l'accès aux services cloud (OneDrive, Office, Xbox, etc.). Très pratique lorsqu'on utilise quotidiennement les services de l'entreprise.
  • Comptes familiauxConçu pour les enfants, avec contrôle parental, limites de temps, filtres de contenu et surveillance centralisée via Microsoft Family Safety.
Gérer les utilisateurs Windows avec PowerShell
Article connexe:
Le guide ultime pour gérer les utilisateurs Windows avec PowerShell

Pour créer des utilisateurs sous Windows 11, plusieurs options s'offrent à vous : Paramètres > Comptes > Autres utilisateurs, le Gestionnaire d'ordinateurs (Utilisateurs et groupes locaux), l'outil netplwiz ou directement des commandes comme net user depuis la console. L'important n'est pas tant le chemin que le résultat : Chaque personne disposant de son propre compte, et uniquement ceux qui devraient être administrateurs, dans le groupe Administrateurs..

Politique de mots de passe sous Windows : un élément clé pour limiter les erreurs humaines

Peu importe la qualité de l'architecture si l'on autorise les utilisateurs à définir des mots de passe comme « 123456 » ou « password ». La politique de mots de passe de Windows est précisément conçue à cet effet. imposer des règles de sécurité minimales et éviter les absurdités.

Cette directive fait partie des politiques de sécurité locales ou de domaine et vous permet de régler des aspects tels que :

  • Longueur minimale: nombre minimum de caractères que doit contenir un mot de passe.
  • Complexité: faut-il inclure les lettres majuscules, les lettres minuscules, les chiffres et les symboles ?
  • recordCombien de mots de passe précédents sont mémorisés pour empêcher l'utilisateur de les réutiliser ?
  • validité maximale et minimaleÀ quelle fréquence faut-il le changer et combien de temps faut-il le conserver avant de pouvoir le changer à nouveau ?
  • Verrouillage du compte: nombre de tentatives infructueuses et durée de blocage pour empêcher les attaques par force brute.

Ceci est configuré à partir de l'Éditeur de stratégie de groupe (gpedit.msc) ou, dans les scénarios de domaine, via GPO : Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe.

À quoi devrait ressembler un bon mot de passe de nos jours ?

Si vous souhaitez des mots de passe véritablement résistants aux attaques actuelles, la théorie de base reste valable, mais elle doit être appliquée rigoureusement. Un bon mot de passe doit être :

  • seulementNon réutilisé sur d'autres services ou appareils. Vous évitez ainsi l'effet domino en cas de fuite vers un autre site web ou une autre application.
  • LargaÀ partir de 10 à 12 caractères, cela commence à être raisonnable, bien que pour les comptes critiques (tels que les administrateurs de domaine), 15 caractères ou plus c'est l'idéal.
  • Complexe mais mémorable: une combinaison de lettres majuscules, de lettres minuscules, de chiffres et de symboles, mais organisée sous la forme de phrase de passage Facile à retenir et difficile à déchiffrer avec un dictionnaire.

Une astuce très utile consiste à utiliser des phrases cryptées : vous choisissez une phrase dont vous vous souvenez (« Mon fils Juan a trois ans de plus que ma fille Ana ») et vous conservez la première lettre de chaque mot, en insérant des chiffres et des symboles : MhJe3@mqmh@Cela génère des mots de passe longs et robustes sans vous obliger à saisir des choses incompréhensibles.

Dans des contextes encore plus sérieux, vous pouvez puiser directement dans générateurs de mots de passe et les gestionnaires d'identifiants tels que KeePassXCcombiné à l'authentification multifacteurs. Ce qu'il faut absolument éviter :

  • Mots de passe vides ou triviaux (« admin », « qwerty », dates de naissance…).
  • Mots de passe écrits sur des post-it collés à l'écran ou enregistrés dans des documents non chiffrés.
  • Réutilisez le même mot de passe pour votre messagerie, vos réseaux sociaux, votre VPN et votre compte Windows..
  Concevoir un environnement numérique efficace dans l'écosystème Microsoft

Combinaison de la politique de mots de passe et du verrouillage des comptes

La politique relative aux mots de passe ne constitue pas un élément isolé ; Ceci est complété par la politique de blocage des comptes.L'objectif est d'empêcher un attaquant de lancer des milliers de tentatives consécutives contre un identifiant.

Sous Windows, vous pouvez définir :

  • Seuil de blocage: nombre de tentatives de connexion infructueuses avant le verrouillage du compte.
  • Durée du blocus: durée pendant laquelle le compte restera bloqué.
  • fenêtre de comptage: intervalle de temps pendant lequel les tentatives infructueuses sont comptabilisées pour déterminer si le système est bloqué.

Dans les versions précédentes de Windows, il existait des utilitaires tels que passprop.exe Soumettre même le compte Administrateur intégré à des stratégies de blocage, initialement uniquement lors des démarrages à distance, puis également lors des démarrages interactifs. Aujourd'hui, avec Windows 11 et Active Directory, il est possible de mieux moduler ces comportements grâce aux objets de stratégie de groupe (GPO), mais le principe reste le même : que même l'administrateur classique n'échappe pas aux contrôles.

Détection des mots de passe faibles et audit périodique

Établir des règles est une bonne chose, mais la réalité est qu'il y aura toujours des utilisateurs qui privilégieront la simplicité ou qui utiliseront le même mot de passe depuis des années. C'est pourquoi il est conseillé de compléter la directive par outils d'analyse de mots de passe:

  • Outils en ligne (en réseau) tels que MBSA (Microsoft Baseline Security Analyzer, dans les environnements hérités) qui vérifie les mots de passe vides, les mots de passe identiques au nom d'utilisateur ou au nom de l'ordinateur.
  • Outils hors ligne tiers qui analysent les hachages et recherchent les mots de passe faibles sans provoquer de blocage de compte (méthode recommandée).

Lorsque vous détectez un mot de passe faible, la solution idéale consiste à automatiser la réponse : imposer le changement vers un mot de passe fort ou envoyer un avertissement très clair au propriétaireDans les environnements plus réglementés, une restauration immédiate et une notification à l'équipe de sécurité peuvent être nécessaires.

L'audit ne se limite pas aux mots de passe ; il doit également couvrir les utilisation de comptes privilégiésQui se connecte où, qui modifie les appartenances aux groupes, qui modifie les politiques de sécurité, etc. Un observateur d'événements, des GPO appropriées et, si la taille de l'organisation le justifie, un SIEM sont vos alliés.

Comptes privilégiés : où les utiliser et comment les protéger davantage

Un autre élément essentiel est Limiter les ordinateurs à partir desquels les comptes de domaine disposant de privilèges élevés peuvent être utilisésUn administrateur de domaine ne doit jamais se connecter à l'ordinateur d'un utilisateur ordinaire, même s'il est très pressé.

Voici quelques mesures très efficaces :

  • Autoriser les connexions interactives uniquement pour les administrateurs de domaine sur les contrôleurs de domaine et les postes de travail de gestion dédiés.jamais sur des équipements utilisateurs ou des serveurs non fiables.
  • Interdire l'utilisation des comptes d'administrateur pour des tâches de service ou par lotsà moins qu'elles ne soient gérées avec une extrême prudence.
  • Désactiver la délégation pour les comptes privilégiés, en les marquant comme « Ce compte est important et ne peut être délégué », empêchant ainsi l'usurpation d'identité via des serveurs de confiance pour la délégation.

Pour élever encore davantage le niveau, il est fortement recommandé d'exiger que Les identifiants d'administration utilisent des cartes à puce. (Authentification à deux facteurs renforcée). Cela permet d'éviter de nombreux problèmes liés aux mots de passe partagés, volés ou capturés par un enregistreur de frappe, et garantit que la personne qui se connecte possède physiquement la carte et le code PIN.

Dans les comptes extrêmement sensibles (par exemple, ceux des membres du conseil d'administration d'une organisation), il est possible de Partager le compte entre deux personnes de manière contrôléeUne personne détient la carte à puce et l'autre le code PIN ; leur présence est donc indispensable à son utilisation. Ce système n'est pas parfait en termes de responsabilité individuelle, mais il offre un niveau de contrôle et de surveillance physique relativement élevé.

PsLoggedOn Windows
Article connexe:
Guide de visualisation de l'activité des utilisateurs avec PsLoggedOn

L'ensemble de ces mesures – un système LAPS bien configuré, une politique de mots de passe stricte mais raisonnable, le principe du moindre privilège, l'audit et une authentification forte par carte à puce – permet de Les comptes locaux et administrateur sous Windows 11 doivent être un outil contrôlé, et non une arme chargée pointée sur votre propre réseau.vous aidant à maintenir la sécurité, la traçabilité et la réactivité sans perturber le quotidien des utilisateurs ni vous rendre fou à gérer les incidents. Partagez l'information et les autres utilisateurs en apprendront davantage sur le sujet..