Renommer le compte Administrateur sur XP pour augmenter la sécurité.

Le
Pierre8r
Bonjour,

J'ai pu lire sur le net qu'il fallait renommer le compte Administrateur
sur XP pour augmenter la sécurité.

Renommer le compte Administrateur en TotoAdministrateur est-ce
suffisant, ou faut-il le renommer en Toto ?

Un hacker est-il capable de connaitre la liste des utilisateurs ?

Merci,

Pierre8r
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #23160351
Le samedi 26/02/2011 20:30:22, Pierre8r a écrit dans le message
Bonjour,

J'ai pu lire sur le net qu'il fallait renommer le compte Administrateur sur
XP pour augmenter la sécurité.


Légende urbaine !
RALC !
(Rumeur à la con)


Renommer le compte Administrateur en TotoAdministrateur est-ce suffisant, ou
faut-il le renommer en Toto ?


Ni l'un ni l'autre!
Le compte admin, on le laisse tranquille !


Un hacker est-il capable de connaitre la liste des utilisateurs ?


OUI !

Et comme j'ai l'habitude d'étayer mes propos, voici mon argumentation :

Le compte "Administrateur" est celui qui possède un SID (Security
IDentifier) se terminant par "-500" (et c'est LE compte qui est utilisé
sous XP HOME en mode sans échec quand tout est perdu for l'honneur!).


RENOMMER le compte "Administrateur"
(celui associé à SID 1-5-21-.......-500):


1) est parfaitement POSSIBLE !
Il suffit d'ouvrir (sous XP, Vista,Windows 7,.. "PRO" et au delà)
la MMC "SECPOL.MSC" (Paramètres de sécurité locaux)
Stratégies locales
Options de sécurité
Comptes : renommer le compte administrateur
http://www.cijoint.fr/cj200903/cijmeB09ET.jpg
Sous les versions HOME, on ne peut pas utiliser cette MMC
(c'est idiot, j'en conviens!)
Mais avec ce script que j'ai écrit, on le fait sans problème :

fichier "renameaccount.vbs" :
-------- couper ici --------
' Script de renommage de nom de compte
' JCB © 2010
Set args = Wscript.Arguments
nbargs=args.count
If nbargs<>2 then wscript.quit
oldname=Trim(args(0))
newname=Trim(args(1))
If oldname="" or newname="" or _
StrComp(oldname,newname,vbTextCompare)=0 _
Then wscript.quit
Set objWMIService = GetObject("winmgmts:\.rootcimv2")
Set colAccounts = objWMIService.ExecQuery( _
"Select * From Win32_UserAccount Where " & _
"LocalAccount = True And Name ='" & oldname & "'")
For Each objAccount in colAccounts
objAccount.Rename newname
Next
-------- couper ici --------

Syntaxe :
renameaccount ancien-nom-de-compte nouveau-nom-de-compte



2) NE SERT STRICTEMENT A RIEN, et est même NUISIBLE!
Car Windows, lui, il s'en tamponne les octets du nom du compte !
Ce qui importe pour lui, c'est le SID !
Dans les LCA (Listes de contrôle d'accès) de la MFT de toute
partition NTFS, ce ne sont pas les noms des comptes qui sont
enregistrés, mais leurs SID ! (c'est pour çà qu'après une
réinstallation de Windows, on voit des noms tels que "S-1-5-21..." )


Donc tout ce qui a été créé pour le SID "1-5-21-.......-500" le
restera !
Si tu renommes "Administrateur" en "Burnemauve", çà ne touchera
pas d'un quart de poil d'octet son SID, si bien que "Burnemauve"
sera TOUJOURS le compte administrateur d'origine, avec son SID 500,
indestructible, et ayant tous les droits.

P.ex. le chemin du carnet d'adresses du compte "Administrateur"
est stocké dans
HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File
Name
et vaut (en principe, sous XP)
"C:Documents and SettingsAdministrateurApplication
DataMicrosoftAddress BookAdministrateur.wab"

Si tu renommes le compte "Administrateur" en "Burnemauve",
le chemin du carnet d'adresses du compte "Burnemauve" sera
toujours stocké dans
HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File
Name
(rien de changé) avec la même valeur
"C:Documents and SettingsAdministrateurApplication
DataMicrosoftAddress BookAdministrateur.wab"


DONC le PIRE dans cette histoire, c'est que tu vas te trouver
avec une DISCORDANCE entre :
- le nom de compte ("Burnemauve")
- le nom du sous-dossier ("C:Documents and
SettingsAdministrateur"),
qui N'EST PAS MODIFIÉ quand on renomme un compte !

Imagine un peu le bazar pour s'y retrouver !!!!
(j'ai fait la manip sur une machine "cobaye", c'est épouvantable
au niveau ergonomique, et excellent pour faire des concetés !)


Si tu veux laisser de côté le compte "Administrateur" en lui
offrant
une retraite anticipée bien supérieure à celle de anciens régimes
spéciaux, il te faut créer un autre compte, appartenant aux admins
ou non, à toi de voir.

Au niveau logiciels, çà n'a pas d'impact, sauf ceux que tu aurais
installés en spécifiant que seul le compte Administrateur a le
droit
de les utiliser.


Dans ce cas, une petite modif de la LCA (liste de contrôle d'accès)
de l'exécutable rétablirait la situation.


Je me suis déjà exprimé à plusieurs reprises sur la VANITÉ (au sens
étymologique = "action vaine") du renommage du compte admin.

Déjà Le 07/09/2005, Jacques BARATHON (de Microsoft) confirmait mes
propos en écrivant ceci :


"En complément aux infos précises de JC, j'ajouterai
que renommer le compte Administrateur ne sert pas
à grand chose en matière de sécurité, je dirais presque
au contraire. En effet, même une fois renommé ce compte
gardera le même SID connu de tous, et il est très facile
de retrouver le nom d'un compte à partir de son SID.


Il serait donc illusoire de se croire à l'abri après avoir
renommé le compte, et le résultat pourrait même être pire si,
en se croyant à l'abri, on en oublie de protéger ce compte
selon les principes de base, notamment:
- s'astreindre à utiliser des mots de passe plus complexes
que ce qui est strictement imposé pour le domaine
- changer le mot de passe régulièrement, ainsi qu'après
chaque évènement significatif pour l'équipe d'administration
(départ d'une personne connaissant le mot de passe,
détection d'une intrusion, etc)
- limiter l'utilisation du compte au strict nécessaire (créer
des comptes personnels dédiés pour les membres de
l'équipe d'administration)
- activer les audits sur l'utilisation du compte et
systématiquement examiner toute activité détectée par
l'audit "

On ne peut pas être plus clair !

--

May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP Expert IT Pro]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Pierre8r
Le #23160421
J'ai lu ce conseil en particulier ici :
http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm

http://filz.fr/xdbtcy

C'est-sur que donner un mot-de-passe au compte administrateur c'est déjà ça.

Pierre8r
Pierre8r
Le #23160411
J'ai lu ce conseil en particulier ici :
http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm

http://filz.fr/xdbtcy

Quelle est votre opinion sur les conseils de ce site ?
En particulier que pensez-vous du conseil :
3- Activer Accès réseau: Ne pas autoriser l'énumération anonyme des
comptes et partages SAM.

Plus généralement ou obtenir des conseils sur la sécurité de XP ?

Pierre8r
Publicité
Poster une réponse
Anonyme