Renommer le compte administrateur

Bonjour,

il y a une stratégie pour renommer le compte "administrateur" !
Il faut tout d'abord s'assurer qu'aucun service/tâche n'utilise le compte "administrateur".

A bientôt,
--
Thierry DEMAN-BARCELÒ
MVP Exchange, SQL/Server
MCSE2003+M,MCSE+I,MCDBA,MCSA2003+S
http://webfamilial.dyndns.org
http://faqexchange.dyndns.org
http://ofniorcim.dyndns.org (une nouvelle FAQ en cours de création)

"Jeankri" <Jeankri@discussions.microsoft.com> a écrit dans le message de news: 3B3B6BF6-467B-4BEB-BCCD-90B9DE3D0D1B@microsoft.com...

Pour des raisons de sécurité, je veux désactiver le compte administrateur et
utiliser un nouveau compte ayant les mêmes droits, mais possédant un nom
différent.
Y-a-t-il une marche à suivre ? Quels peuvent être les problèmes engendrés ?
Nous sommes en windows 2000 et envisageons de passer à 2003 bientôt. Faut-il
attendre la migration ?

Dans le message news:3B3B6BF6-467B-4BEB-BCCD-90B9DE3D0D1B@microsoft.com ,
Jeankri <Jeankri@discussions.microsoft.com> s'est ainsi exprimé:

Pour des raisons de sécurité, je veux désactiver le compte
administrateur et utiliser un nouveau compte ayant les mêmes droits,
mais possédant un nom différent.
Y-a-t-il une marche à suivre ?
OUI

Il NE FAUT SURTOUT PAS désactiver le compte "administrateur" et en utiliser
un autre, mais AU CONTRAIRE le CONSERVER, et le renommer si on veut
renforcer la sécurité.
C'est d'ailleurs PRÉVU par la stratégie suivante :
(depuis GPEDIT.MSC ou SECPOL.MSC)

Depuis GPEDIT :
Configuration de l'ordinateur
Paramètres Windows
Depusi SECPOL :
Paramètres de sécurité
Stratégies locales
Options de sécurité
Comptes : Renommer le compte administrateur

Quels peuvent être les problèmes
engendrés ?
Si on désactive ou supprime le compte "administrateur", cela peut avoir des

conséquences très fâcheuses, telles que :

- les services lancés sous les droits de "administrateur"
ne fonctionnent plus.
- l'agent de récupération de données chiffrées (EFS)
n'est plus valide.

Nous sommes en windows 2000 et envisageons de passer à
2003 bientôt. Faut-il attendre la migration ?
Pour quoi faire ? Renommer l'admin ?

Non, grâce à cette stratégie, çà peut se faire à tout moment.
(sauf, évidemment lorsqu'une session est ouverte sous ce compte)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

En complément aux infos précises de JC, j'ajouterai que renommer le compte
Administrateur ne sert pas à grand chose en matière de sécurité, je dirais
presque au contraire. En effet, même une fois renommé ce compte gardera le
même SID connu de tous, et il est très facile de retrouver le nom d'un
compte à partir de son SID.

Il serait donc illusoire de se croire à l'abri après avoir renommé le
compte, et le résultat pourrait même être pire si, en se croyant à l'abri,
on en oublie de protéger ce compte selon les principes de base, notamment:

- s'astreinte à utiliser des mots de passe plus complexes que ce qui est
strictement imposé pour le domaine
- changer le mot de passe régulièrement, ainsi qu'après chaque évènement
significatif pour l'équipe d'administration (départ d'une personne
connaissant le mot de passe, détection d'une intrusion, etc)
- limiter l'utilisation du compte au strict nécessaire (créer des comptes
personnels dédiés pour les membres de l'équipe d'administration)
- activer les audits sur l'utilisation du compte et systématiquement
examiner toute activité détectée par l'audit

Jacques

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> wrote in message
news:ebKnq04sFHA.3528@TK2MSFTNGP15.phx.gbl...

Dans le message news:3B3B6BF6-467B-4BEB-BCCD-90B9DE3D0D1B@microsoft.com ,
Jeankri <Jeankri@discussions.microsoft.com> s'est ainsi exprimé:

Pour des raisons de sécurité, je veux désactiver le compte
administrateur et utiliser un nouveau compte ayant les mêmes droits,
mais possédant un nom différent.
Y-a-t-il une marche à suivre ?
OUI

Il NE FAUT SURTOUT PAS désactiver le compte "administrateur" et en
utiliser un autre, mais AU CONTRAIRE le CONSERVER, et le renommer si on
veut renforcer la sécurité.
C'est d'ailleurs PRÉVU par la stratégie suivante :
(depuis GPEDIT.MSC ou SECPOL.MSC)

Depuis GPEDIT :
Configuration de l'ordinateur
Paramètres Windows
Depusi SECPOL :
Paramètres de sécurité
Stratégies locales
Options de sécurité
Comptes : Renommer le compte administrateur

Quels peuvent être les problèmes
engendrés ?
Si on désactive ou supprime le compte "administrateur", cela peut avoir

des conséquences très fâcheuses, telles que :

- les services lancés sous les droits de "administrateur"
ne fonctionnent plus.
- l'agent de récupération de données chiffrées (EFS)
n'est plus valide.

Nous sommes en windows 2000 et envisageons de passer à
2003 bientôt. Faut-il attendre la migration ?
Pour quoi faire ? Renommer l'admin ?

Non, grâce à cette stratégie, çà peut se faire à tout moment.
(sauf, évidemment lorsqu'une session est ouverte sous ce compte)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

2 questions :

1. J'ai lu ci-dessous que ça ne servait à rien de simplement renommer le
compte administrateur car il a un SID bien connu, et qu'il apparait dans
certaines listes en premier. Est-ce qu'il faut arrêter d'être parano ?

http://www.microsoft.com/technet/security/topics/serversecurity/administratoraccounts/aapgch03.mspx

2. J'ai beaucoup de services qui tournent avec le compte administrateur,
quelle est la marche à suivre entre l'application des GPO et le changement du
nom d'utilisateur dans lequel ces services tournent ?

Par ailleurs, comme le dit JCB, certaines tâches d'administration sont liées au compte précis "administrateur".
=> Par exemple, j'ai régulièrement le cas lors de l'installation d'un 1er serveur Exchange ! ( un autre compte membre de TOUS les
groupes qui vont bien ne suffit pas!).

A+
--
Thierry DEMAN-BARCELÒ
MVP Exchange, SQL/Server
MCSE2003+M,MCSE+I,MCDBA,MCSA2003+S
http://webfamilial.dyndns.org
http://faqexchange.dyndns.org
http://ofniorcim.dyndns.org (une nouvelle FAQ en cours de création)

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le message de news: ebKnq04sFHA.3528@TK2MSFTNGP15.phx.gbl...

Dans le message news:3B3B6BF6-467B-4BEB-BCCD-90B9DE3D0D1B@microsoft.com ,
Jeankri <Jeankri@discussions.microsoft.com> s'est ainsi exprimé:

Pour des raisons de sécurité, je veux désactiver le compte
administrateur et utiliser un nouveau compte ayant les mêmes droits,
mais possédant un nom différent.
Y-a-t-il une marche à suivre ?
OUI

Il NE FAUT SURTOUT PAS désactiver le compte "administrateur" et en utiliser un autre, mais AU CONTRAIRE le CONSERVER, et le
renommer si on veut renforcer la sécurité.
C'est d'ailleurs PRÉVU par la stratégie suivante :
(depuis GPEDIT.MSC ou SECPOL.MSC)

Depuis GPEDIT :
Configuration de l'ordinateur
Paramètres Windows
Depusi SECPOL :
Paramètres de sécurité
Stratégies locales
Options de sécurité
Comptes : Renommer le compte administrateur

Quels peuvent être les problèmes
engendrés ?
Si on désactive ou supprime le compte "administrateur", cela peut avoir des conséquences très fâcheuses, telles que :

- les services lancés sous les droits de "administrateur"
ne fonctionnent plus.
- l'agent de récupération de données chiffrées (EFS)
n'est plus valide.

Nous sommes en windows 2000 et envisageons de passer à
2003 bientôt. Faut-il attendre la migration ?
Pour quoi faire ? Renommer l'admin ?

Non, grâce à cette stratégie, çà peut se faire à tout moment.
(sauf, évidemment lorsqu'une session est ouverte sous ce compte)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

Dans le message news:5F972DE6-D873-4CC1-BE07-138824347CFB@microsoft.com ,
Jeankri <Jeankri@discussions.microsoft.com> s'est ainsi exprimé:

2 questions :

1. J'ai lu ci-dessous que ça ne servait à rien de simplement renommer
le compte administrateur car il a un SID bien connu,

C'est effectivement :
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-500
(les xxxx....xxxxx sont le corps de l'identifiant du PC ou du domaine,
commun à tous les comptes utilisateurs standards)

MAIS... pour prendre connaissance de la liste des SID, p.ex. avec mon script
"Name2SID.wsf" : http://www.bellamyjc.org/fr/vbsdownload.html#name2sid ,
il faut au moins avoir déjà ouvert une session (localement ou à distance)

et qu'il apparait dans certaines listes en premier.

Non, pas forcément, mais on s'en fiche .

Exemple :
j'ai renommé le compte "Administrateur" en "Patatoseur"
(les amateurs du "Concombre masqué" comprendront la fine allusion ! ;-) )

Voici les résultats de mon script NAME2SID.WSF :
(j'ai élagué, mais j'ai conservé l'ordre)

I:Program FilesVBS>name2sid.wsf
Name : Administrateurs
SID : S-1-5-32-544

Name : Duplicateurs
SID : S-1-5-32-552

Name : Invités
SID : S-1-5-32-546

Name : Opérateurs de configuration réseau
SID : S-1-5-32-556

Name : Opérateurs de sauvegarde
SID : S-1-5-32-551

Name : Utilisateurs
SID : S-1-5-32-545

...

Name : ASPNET
SID : S-1-5-21-1935655697-1336601894-725345543-1013

Name : BART
SID : S-1-5-21-1935655697-1336601894-725345543-1005

...

Name : Patatoseur
SID : S-1-5-21-1935655697-1336601894-725345543-500

Name : SQLDebugger
SID : S-1-5-21-1935655697-1336601894-725345543-1017

...

On voit que le compte dont le SID se termine par 500 est bien loin dans la
liste ...
Et on a tout de suite son nom...

Mais comme tu le dis justement , il ne faut pas sombrer dans la parano ...


NB: sauf stratégie qui l'interdirait formellement, NAME2SID.WSF tourne sans
pb sous un compte "lambda" (j'ai testé)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> wrote in message
news:e$bFmy6sFHA.1252@TK2MSFTNGP09.phx.gbl...
<snip>

Mais comme tu le dis justement , il ne faut pas sombrer dans la parano ...

L'idée de ne pas recommander le renommage du compte Administrateur n'est pas
de la parano, il s'agit simplement de dire que ça ne sert à rien, et autant
s'épargner l'implémentation d'une soit-disante protection quand elle ne sert
à rien.

Jacques

Bonjour Jacques,

Certes renommer le compte administrateur n'apporte pas un supplément de
sécurité extraordinaire mais cela a le mérite d'écrêmer une grande partie
des attaques de Script Kiddies ou autres petits curieux qui s'acharnent sur
ce malheureux compte administrateur. :-)




--
Cordialement,
Michaël
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc


"Jacques Barathon [MS]" <jbaratho@online.microsoft.com> a écrit dans le
message de news: %23hq%239A8sFHA.2212@TK2MSFTNGP15.phx.gbl...

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> wrote in message
news:e$bFmy6sFHA.1252@TK2MSFTNGP09.phx.gbl...
<snip>

Mais comme tu le dis justement , il ne faut pas sombrer dans la parano
...

L'idée de ne pas recommander le renommage du compte Administrateur n'est
pas de la parano, il s'agit simplement de dire que ça ne sert à rien, et
autant s'épargner l'implémentation d'une soit-disante protection quand
elle ne sert à rien.

Jacques

"Michaël THIBAUT" <michaelp75@-N-O-S-P-A-M-hotmail.com> wrote in message
news:OnNg9H8sFHA.3040@TK2MSFTNGP14.phx.gbl...

Bonjour Jacques,

Certes renommer le compte administrateur n'apporte pas un supplément de
sécurité extraordinaire mais cela a le mérite d'écrêmer une grande partie
des attaques de Script Kiddies ou autres petits curieux qui s'acharnent
sur ce malheureux compte administrateur. :-)

Certes, si ton domaine est accessible par l'extérieur et que tu as remarqué
une charge anormale à cause de ça. Mais il s'agit alors plus d'un problème
de performance à gérer que véritablement un problème de sécurité, car si ton
compte Admin est crackable par un Script Kiddy, il ne tiendra pas très
longtemps face à qqu'un d'à peine plus sérieux si tu te contentes de le
renommer...

Jacques

Dans le message news:%23hq%239A8sFHA.2212@TK2MSFTNGP15.phx.gbl ,
Jacques Barathon [MS] <jbaratho@online.microsoft.com> s'est ainsi exprimé:

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> wrote in
message news:e$bFmy6sFHA.1252@TK2MSFTNGP09.phx.gbl...
<snip>

Mais comme tu le dis justement , il ne faut pas sombrer dans la
parano ...

L'idée de ne pas recommander le renommage du compte Administrateur
n'est pas de la parano, il s'agit simplement de dire que ça ne sert à
rien, et autant s'épargner l'implémentation d'une soit-disante
protection quand elle ne sert à rien.

Ah mais je suis bien d'accord avec toi !
Depuis que je "bricole" sur NT, c'est à dire 1992 (bêta de NT 3.1), aussi
bien sur le plan professionnel que personnel je n'ai JAMAIS renommé le
moindre compte "Administrateur" sur aucune machine (SRV et WS) !

Quand je disais qu'il ne faut pas "sombrer dans la parano", c'était par
rapport à l'article du Technet
http://www.microsoft.com/technet/security/topics/serversecurity/administratoraccounts/aapgch03.mspx
qui "en fait un peu trop" AMHA ! ;-)


Et il vaut mieux n'avoir aucune protection installée *en le sachant* que de
croire qu'on est protégé alors que c'est faux !

Cas typiques :
- Antivirus avec une base datant de plusieurs mois
- Firewall avec TOUS les ports TCP et UDP ouverts dans les 2 sens


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr