Forcer l’arrêt d’un système distant

  • Article
  • 10/28/2021
  • 2 minutes à lire
    • D
    • S
    • V
    • g
    • J
    • +1
Cette page est-elle utile ?

Merci.

S’applique aux fenêtres

  • 10

Décrit les meilleures pratiques, l’emplacement, les valeurs, la gestion des stratégies et les considérations de sécurité pour l’arrêt forcé à partir d’un paramètre de stratégie de sécurité du système distant.

Référence

Ce paramètre de sécurité détermine quels utilisateurs sont autorisés à arrêter un périphérique à partir d’un emplacement distant sur le réseau. Ce paramètre permet aux membres du groupe Administrateurs ou à des utilisateurs spécifiques de gérer des ordinateurs (pour des tâches telles qu’un redémarrage) à partir d’un emplacement distant.

Constante: SeRemoteShutdownPrivilege

Valeurs possibles

  • Liste de comptes définie par l’utilisateur
  • Administrateurs

Meilleures pratiques

  • Restreindre explicitement ce droit d’utilisateur aux membres du groupe Administrateurs ou à d’autres rôles attribués qui nécessitent cette fonctionnalité, tels que les opérations non administratives personnel.

Emplacement

Configuration de l’ordinateur \ Paramètres Windows \ Paramètres de sécurité\ Stratégies locales \ Attribution des droits de l’utilisateur

Valeurs par défaut

Par défaut, ce paramètre concerne les administrateurs et les Opérateurs de serveur sur les contrôleurs de domaine et les administrateurs sur les serveurs autonomes.

Le tableau suivant répertorie les valeurs de stratégie par défaut réelles et effectives pour les versions les plus récentes prises en charge de Windows. Les valeurs par défaut sont également répertoriées sur la page des propriétés de la stratégie.

Type de serveur ou GPO Valeur par défaut
Stratégie de domaine par défaut Non définie
Stratégie de contrôleur de domaine par défaut Administrateurs
Opérateurs de serveur
Paramètres par défaut du Serveur autonome Administrateurs
Paramètres par défaut effectifs du Contrôleur de domaine Administrateurs
Opérateurs de serveur
Paramètres par défaut effectifs du serveur membre Administrateurs
Paramètres par défaut effectifs de l’ordinateur client Administrateurs

Gestion des stratégies

Cette section décrit les fonctionnalités, les outils et les conseils pour vous aider à gérer cette stratégie.

Un redémarrage de l’ordinateur n’est pas nécessaire pour que ce paramètre de stratégie soit effectif.

Toute modification de l’attribution des droits d’utilisateur pour un compte prend effet la prochaine fois que le propriétaire du compte se connecte.

Ce paramètre de stratégie doit être appliqué sur l’ordinateur auquel on accède à distance.

Stratégie de groupe

Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe (GPO) du Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des postes de travail et des serveurs.Les paramètres

sont appliqués dans l’ordre suivant via un objet de stratégie de groupe (GPO), qui écrasera les paramètres sur l’ordinateur local lors de la prochaine mise à jour de la stratégie de groupe:

  1. Paramètres de stratégie locale
  2. Paramètres de stratégie de site
  3. Paramètres de stratégie de domaine
  4. Paramètres de stratégie OU

Lorsqu’un paramètre local est grisé, cela indique qu’un GPO contrôle actuellement ce paramètre.

Considérations de sécurité

Cette section décrit comment un attaquant peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de l’implémentation de la contre-mesure.

Vulnérabilité

Tout utilisateur qui peut arrêter un périphérique peut provoquer une condition de déni de service. Par conséquent, ce droit de l’utilisateur doit être strictement limité.

Contre-mesure

Limitez l’arrêt forcé d’un droit d’utilisateur système distant aux membres du groupe Administrateurs ou à d’autres rôles attribués qui nécessitent cette capacité, tels que le personnel des opérations non administratives.

Impact potentiel

Sur un contrôleur de domaine, si vous supprimez l’arrêt forcé d’un utilisateur système distant directement du groupe Opérateur de serveur, vous pouvez limiter les capacités des utilisateurs affectés à des rôles d’administration spécifiques dans votre environnement. Confirmer que les activités déléguées ne sont pas affectées négativement.

  • Cession des droits de l’utilisateur

Leave a Reply

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.