Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Claude BELLAMY
Le samedi 26/02/2011 20:30:22, Pierre8r a écrit dans le message <news:4d6954a0$0$10708$ ce qui suit :
Bonjour,
J'ai pu lire sur le net qu'il fallait renommer le compte Administrateur sur XP pour augmenter la sécurité.
Légende urbaine ! RALC ! (Rumeur à la con)
Renommer le compte Administrateur en TotoAdministrateur est-ce suffisant, ou faut-il le renommer en Toto ?
Ni l'un ni l'autre! Le compte admin, on le laisse tranquille !
Un hacker est-il capable de connaitre la liste des utilisateurs ?
OUI !
Et comme j'ai l'habitude d'étayer mes propos, voici mon argumentation :
Le compte "Administrateur" est celui qui possède un SID (Security IDentifier) se terminant par "-500" (et c'est LE compte qui est utilisé sous XP HOME en mode sans échec quand tout est perdu for l'honneur!).
RENOMMER le compte "Administrateur" (celui associé à SID 1-5-21-.......-500):
1) est parfaitement POSSIBLE ! Il suffit d'ouvrir (sous XP, Vista,Windows 7,.. "PRO" et au delà) la MMC "SECPOL.MSC" (Paramètres de sécurité locaux) Stratégies locales Options de sécurité Comptes : renommer le compte administrateur http://www.cijoint.fr/cj200903/cijmeB09ET.jpg Sous les versions HOME, on ne peut pas utiliser cette MMC (c'est idiot, j'en conviens!) Mais avec ce script que j'ai écrit, on le fait sans problème :
2) NE SERT STRICTEMENT A RIEN, et est même NUISIBLE! Car Windows, lui, il s'en tamponne les octets du nom du compte ! Ce qui importe pour lui, c'est le SID ! Dans les LCA (Listes de contrôle d'accès) de la MFT de toute partition NTFS, ce ne sont pas les noms des comptes qui sont enregistrés, mais leurs SID ! (c'est pour çà qu'après une réinstallation de Windows, on voit des noms tels que "S-1-5-21..." )
Donc tout ce qui a été créé pour le SID "1-5-21-.......-500" le restera ! Si tu renommes "Administrateur" en "Burnemauve", çà ne touchera pas d'un quart de poil d'octet son SID, si bien que "Burnemauve" sera TOUJOURS le compte administrateur d'origine, avec son SID 500, indestructible, et ayant tous les droits.
P.ex. le chemin du carnet d'adresses du compte "Administrateur" est stocké dans HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File Name et vaut (en principe, sous XP) "C:Documents and SettingsAdministrateurApplication DataMicrosoftAddress BookAdministrateur.wab"
Si tu renommes le compte "Administrateur" en "Burnemauve", le chemin du carnet d'adresses du compte "Burnemauve" sera toujours stocké dans HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File Name (rien de changé) avec la même valeur "C:Documents and SettingsAdministrateurApplication DataMicrosoftAddress BookAdministrateur.wab"
DONC le PIRE dans cette histoire, c'est que tu vas te trouver avec une DISCORDANCE entre : - le nom de compte ("Burnemauve") - le nom du sous-dossier ("C:Documents and SettingsAdministrateur"), qui N'EST PAS MODIFIÉ quand on renomme un compte !
Imagine un peu le bazar pour s'y retrouver !!!! (j'ai fait la manip sur une machine "cobaye", c'est épouvantable au niveau ergonomique, et excellent pour faire des concetés !)
Si tu veux laisser de côté le compte "Administrateur" en lui offrant une retraite anticipée bien supérieure à celle de anciens régimes spéciaux, il te faut créer un autre compte, appartenant aux admins ou non, à toi de voir.
Au niveau logiciels, çà n'a pas d'impact, sauf ceux que tu aurais installés en spécifiant que seul le compte Administrateur a le droit de les utiliser.
Dans ce cas, une petite modif de la LCA (liste de contrôle d'accès) de l'exécutable rétablirait la situation.
Je me suis déjà exprimé à plusieurs reprises sur la VANITÉ (au sens étymologique = "action vaine") du renommage du compte admin.
Déjà Le 07/09/2005, Jacques BARATHON (de Microsoft) confirmait mes propos en écrivant ceci :
"En complément aux infos précises de JC, j'ajouterai que renommer le compte Administrateur ne sert pas à grand chose en matière de sécurité, je dirais presque au contraire. En effet, même une fois renommé ce compte gardera le même SID connu de tous, et il est très facile de retrouver le nom d'un compte à partir de son SID.
Il serait donc illusoire de se croire à l'abri après avoir renommé le compte, et le résultat pourrait même être pire si, en se croyant à l'abri, on en oublie de protéger ce compte selon les principes de base, notamment: - s'astreindre à utiliser des mots de passe plus complexes que ce qui est strictement imposé pour le domaine - changer le mot de passe régulièrement, ainsi qu'après chaque évènement significatif pour l'équipe d'administration (départ d'une personne connaissant le mot de passe, détection d'une intrusion, etc) - limiter l'utilisation du compte au strict nécessaire (créer des comptes personnels dédiés pour les membres de l'équipe d'administration) - activer les audits sur l'utilisation du compte et systématiquement examiner toute activité détectée par l'audit "
On ne peut pas être plus clair !
--
May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP Expert IT Pro] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Le samedi 26/02/2011 20:30:22, Pierre8r a écrit dans le message
<news:4d6954a0$0$10708$426a74cc@news.free.fr> ce qui suit :
Bonjour,
J'ai pu lire sur le net qu'il fallait renommer le compte Administrateur sur
XP pour augmenter la sécurité.
Légende urbaine !
RALC !
(Rumeur à la con)
Renommer le compte Administrateur en TotoAdministrateur est-ce suffisant, ou
faut-il le renommer en Toto ?
Ni l'un ni l'autre!
Le compte admin, on le laisse tranquille !
Un hacker est-il capable de connaitre la liste des utilisateurs ?
OUI !
Et comme j'ai l'habitude d'étayer mes propos, voici mon argumentation :
Le compte "Administrateur" est celui qui possède un SID (Security
IDentifier) se terminant par "-500" (et c'est LE compte qui est utilisé
sous XP HOME en mode sans échec quand tout est perdu for l'honneur!).
RENOMMER le compte "Administrateur"
(celui associé à SID 1-5-21-.......-500):
1) est parfaitement POSSIBLE !
Il suffit d'ouvrir (sous XP, Vista,Windows 7,.. "PRO" et au delà)
la MMC "SECPOL.MSC" (Paramètres de sécurité locaux)
Stratégies locales
Options de sécurité
Comptes : renommer le compte administrateur
http://www.cijoint.fr/cj200903/cijmeB09ET.jpg
Sous les versions HOME, on ne peut pas utiliser cette MMC
(c'est idiot, j'en conviens!)
Mais avec ce script que j'ai écrit, on le fait sans problème :
2) NE SERT STRICTEMENT A RIEN, et est même NUISIBLE!
Car Windows, lui, il s'en tamponne les octets du nom du compte !
Ce qui importe pour lui, c'est le SID !
Dans les LCA (Listes de contrôle d'accès) de la MFT de toute
partition NTFS, ce ne sont pas les noms des comptes qui sont
enregistrés, mais leurs SID ! (c'est pour çà qu'après une
réinstallation de Windows, on voit des noms tels que "S-1-5-21..." )
Donc tout ce qui a été créé pour le SID "1-5-21-.......-500" le
restera !
Si tu renommes "Administrateur" en "Burnemauve", çà ne touchera
pas d'un quart de poil d'octet son SID, si bien que "Burnemauve"
sera TOUJOURS le compte administrateur d'origine, avec son SID 500,
indestructible, et ayant tous les droits.
P.ex. le chemin du carnet d'adresses du compte "Administrateur"
est stocké dans
HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File
Name
et vaut (en principe, sous XP)
"C:Documents and SettingsAdministrateurApplication
DataMicrosoftAddress BookAdministrateur.wab"
Si tu renommes le compte "Administrateur" en "Burnemauve",
le chemin du carnet d'adresses du compte "Burnemauve" sera
toujours stocké dans
HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File
Name
(rien de changé) avec la même valeur
"C:Documents and SettingsAdministrateurApplication
DataMicrosoftAddress BookAdministrateur.wab"
DONC le PIRE dans cette histoire, c'est que tu vas te trouver
avec une DISCORDANCE entre :
- le nom de compte ("Burnemauve")
- le nom du sous-dossier ("C:Documents and
SettingsAdministrateur"),
qui N'EST PAS MODIFIÉ quand on renomme un compte !
Imagine un peu le bazar pour s'y retrouver !!!!
(j'ai fait la manip sur une machine "cobaye", c'est épouvantable
au niveau ergonomique, et excellent pour faire des concetés !)
Si tu veux laisser de côté le compte "Administrateur" en lui
offrant
une retraite anticipée bien supérieure à celle de anciens régimes
spéciaux, il te faut créer un autre compte, appartenant aux admins
ou non, à toi de voir.
Au niveau logiciels, çà n'a pas d'impact, sauf ceux que tu aurais
installés en spécifiant que seul le compte Administrateur a le
droit
de les utiliser.
Dans ce cas, une petite modif de la LCA (liste de contrôle d'accès)
de l'exécutable rétablirait la situation.
Je me suis déjà exprimé à plusieurs reprises sur la VANITÉ (au sens
étymologique = "action vaine") du renommage du compte admin.
Déjà Le 07/09/2005, Jacques BARATHON (de Microsoft) confirmait mes
propos en écrivant ceci :
"En complément aux infos précises de JC, j'ajouterai
que renommer le compte Administrateur ne sert pas
à grand chose en matière de sécurité, je dirais presque
au contraire. En effet, même une fois renommé ce compte
gardera le même SID connu de tous, et il est très facile
de retrouver le nom d'un compte à partir de son SID.
Il serait donc illusoire de se croire à l'abri après avoir
renommé le compte, et le résultat pourrait même être pire si,
en se croyant à l'abri, on en oublie de protéger ce compte
selon les principes de base, notamment:
- s'astreindre à utiliser des mots de passe plus complexes
que ce qui est strictement imposé pour le domaine
- changer le mot de passe régulièrement, ainsi qu'après
chaque évènement significatif pour l'équipe d'administration
(départ d'une personne connaissant le mot de passe,
détection d'une intrusion, etc)
- limiter l'utilisation du compte au strict nécessaire (créer
des comptes personnels dédiés pour les membres de
l'équipe d'administration)
- activer les audits sur l'utilisation du compte et
systématiquement examiner toute activité détectée par
l'audit "
On ne peut pas être plus clair !
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP Expert IT Pro]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Le samedi 26/02/2011 20:30:22, Pierre8r a écrit dans le message <news:4d6954a0$0$10708$ ce qui suit :
Bonjour,
J'ai pu lire sur le net qu'il fallait renommer le compte Administrateur sur XP pour augmenter la sécurité.
Légende urbaine ! RALC ! (Rumeur à la con)
Renommer le compte Administrateur en TotoAdministrateur est-ce suffisant, ou faut-il le renommer en Toto ?
Ni l'un ni l'autre! Le compte admin, on le laisse tranquille !
Un hacker est-il capable de connaitre la liste des utilisateurs ?
OUI !
Et comme j'ai l'habitude d'étayer mes propos, voici mon argumentation :
Le compte "Administrateur" est celui qui possède un SID (Security IDentifier) se terminant par "-500" (et c'est LE compte qui est utilisé sous XP HOME en mode sans échec quand tout est perdu for l'honneur!).
RENOMMER le compte "Administrateur" (celui associé à SID 1-5-21-.......-500):
1) est parfaitement POSSIBLE ! Il suffit d'ouvrir (sous XP, Vista,Windows 7,.. "PRO" et au delà) la MMC "SECPOL.MSC" (Paramètres de sécurité locaux) Stratégies locales Options de sécurité Comptes : renommer le compte administrateur http://www.cijoint.fr/cj200903/cijmeB09ET.jpg Sous les versions HOME, on ne peut pas utiliser cette MMC (c'est idiot, j'en conviens!) Mais avec ce script que j'ai écrit, on le fait sans problème :
2) NE SERT STRICTEMENT A RIEN, et est même NUISIBLE! Car Windows, lui, il s'en tamponne les octets du nom du compte ! Ce qui importe pour lui, c'est le SID ! Dans les LCA (Listes de contrôle d'accès) de la MFT de toute partition NTFS, ce ne sont pas les noms des comptes qui sont enregistrés, mais leurs SID ! (c'est pour çà qu'après une réinstallation de Windows, on voit des noms tels que "S-1-5-21..." )
Donc tout ce qui a été créé pour le SID "1-5-21-.......-500" le restera ! Si tu renommes "Administrateur" en "Burnemauve", çà ne touchera pas d'un quart de poil d'octet son SID, si bien que "Burnemauve" sera TOUJOURS le compte administrateur d'origine, avec son SID 500, indestructible, et ayant tous les droits.
P.ex. le chemin du carnet d'adresses du compte "Administrateur" est stocké dans HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File Name et vaut (en principe, sous XP) "C:Documents and SettingsAdministrateurApplication DataMicrosoftAddress BookAdministrateur.wab"
Si tu renommes le compte "Administrateur" en "Burnemauve", le chemin du carnet d'adresses du compte "Burnemauve" sera toujours stocké dans HKEY_USERSS-1-5-21-......-500SoftwareMicrosoftWABWAB4Wab File Name (rien de changé) avec la même valeur "C:Documents and SettingsAdministrateurApplication DataMicrosoftAddress BookAdministrateur.wab"
DONC le PIRE dans cette histoire, c'est que tu vas te trouver avec une DISCORDANCE entre : - le nom de compte ("Burnemauve") - le nom du sous-dossier ("C:Documents and SettingsAdministrateur"), qui N'EST PAS MODIFIÉ quand on renomme un compte !
Imagine un peu le bazar pour s'y retrouver !!!! (j'ai fait la manip sur une machine "cobaye", c'est épouvantable au niveau ergonomique, et excellent pour faire des concetés !)
Si tu veux laisser de côté le compte "Administrateur" en lui offrant une retraite anticipée bien supérieure à celle de anciens régimes spéciaux, il te faut créer un autre compte, appartenant aux admins ou non, à toi de voir.
Au niveau logiciels, çà n'a pas d'impact, sauf ceux que tu aurais installés en spécifiant que seul le compte Administrateur a le droit de les utiliser.
Dans ce cas, une petite modif de la LCA (liste de contrôle d'accès) de l'exécutable rétablirait la situation.
Je me suis déjà exprimé à plusieurs reprises sur la VANITÉ (au sens étymologique = "action vaine") du renommage du compte admin.
Déjà Le 07/09/2005, Jacques BARATHON (de Microsoft) confirmait mes propos en écrivant ceci :
"En complément aux infos précises de JC, j'ajouterai que renommer le compte Administrateur ne sert pas à grand chose en matière de sécurité, je dirais presque au contraire. En effet, même une fois renommé ce compte gardera le même SID connu de tous, et il est très facile de retrouver le nom d'un compte à partir de son SID.
Il serait donc illusoire de se croire à l'abri après avoir renommé le compte, et le résultat pourrait même être pire si, en se croyant à l'abri, on en oublie de protéger ce compte selon les principes de base, notamment: - s'astreindre à utiliser des mots de passe plus complexes que ce qui est strictement imposé pour le domaine - changer le mot de passe régulièrement, ainsi qu'après chaque évènement significatif pour l'équipe d'administration (départ d'une personne connaissant le mot de passe, détection d'une intrusion, etc) - limiter l'utilisation du compte au strict nécessaire (créer des comptes personnels dédiés pour les membres de l'équipe d'administration) - activer les audits sur l'utilisation du compte et systématiquement examiner toute activité détectée par l'audit "
On ne peut pas être plus clair !
--
May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP Expert IT Pro] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Pierre8r
J'ai lu ce conseil en particulier ici : http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm
http://filz.fr/xdbtcy
C'est-sur que donner un mot-de-passe au compte administrateur c'est déjà ça.
Pierre8r
J'ai lu ce conseil en particulier ici :
http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm
http://filz.fr/xdbtcy
C'est-sur que donner un mot-de-passe au compte administrateur c'est déjà ça.
J'ai lu ce conseil en particulier ici : http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm
http://filz.fr/xdbtcy
C'est-sur que donner un mot-de-passe au compte administrateur c'est déjà ça.
Pierre8r
Pierre8r
J'ai lu ce conseil en particulier ici : http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm
http://filz.fr/xdbtcy
Quelle est votre opinion sur les conseils de ce site ? En particulier que pensez-vous du conseil : 3- Activer Accès réseau: Ne pas autoriser l'énumération anonyme des comptes et partages SAM.
Plus généralement ou obtenir des conseils sur la sécurité de XP ?
Pierre8r
J'ai lu ce conseil en particulier ici :
http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm
http://filz.fr/xdbtcy
Quelle est votre opinion sur les conseils de ce site ?
En particulier que pensez-vous du conseil :
3- Activer Accès réseau: Ne pas autoriser l'énumération anonyme des
comptes et partages SAM.
Plus généralement ou obtenir des conseils sur la sécurité de XP ?
J'ai lu ce conseil en particulier ici : http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part01.htm
http://filz.fr/xdbtcy
Quelle est votre opinion sur les conseils de ce site ? En particulier que pensez-vous du conseil : 3- Activer Accès réseau: Ne pas autoriser l'énumération anonyme des comptes et partages SAM.
Plus généralement ou obtenir des conseils sur la sécurité de XP ?