Suppression de droits d'administrateur local
Accueil »  Fonctionnalités  » Suppression de droits d'administrateur local

Suppression de droits d'administrateur

Les organisations réalisent bien l’importance d’établir le principe du privilège minimum dans le contexte de sécurité actuel. Toutefois, elles restent réticentes à l’accepter. L’hésitation découle des nombreuses difficultés résultant de ce concept de sécurité. Trouver le bon équilibre entre sécurité et productivité devient crucial, les organisations devant souvent jongler entre plusieurs outils externes pour y parvenir. ManageEngine Application Control Plus offre une fonctionnalité de gestion des privilèges de terminal pour faciliter la mise en œuvre de ce principe par les entreprises, avec tous les outils requis.

Why is removing admin rights essential to network security?

L’établissement du privilège minimum présente deux aspects clés :

  • Sécurité renforcée

    Il s’agit de supprimer les droits d'administrateur inutiles et de limiter les individus autorisés à des droits d’utilisateur standard sauf absolue nécessité.

  • Productivité maintenue

    Il s’agit d’obtenir un autre moyen d’autoriser des utilisateurs standards à exécuter les tâches ordinaires sans élever tout le compte ou affecter les identifiants d’administrateur.

Pour en savoir plus sur les droits d'administrateur avant de déterminer les façons de minimiser leur étendue, consultez la section des questions courantes ci-dessous.

Suppression de droits d'administrateur local avec Application Control Plus

Dans Application Control Plus, la fonctionnalité de gestion des privilèges de terminal permet de supprimer de façon centralisée tous les comptes d’administrateur jugés inutiles et de n’élever que des privilèges sur des applications au besoin. On évite ainsi le problème d’utiliser plusieurs outils pour établir le principe du privilège minimum. Voici comment exploiter la suppression de droits d'administrateur pour éliminer un vaste pan de la surface d’attaque :

  • Détection

    L’identification des lacunes du réseau est cruciale. Le grand nombre de terminaux rend pratiquement impossible pour les administrateurs de suivre manuellement tous les comptes d'administrateur local qui y sont créés. L’onglet Résumé des droits d'administrateur affiche la liste des comptes d’administrateur local qui correspondent aux ordinateurs détectés. Un clic sur Nombre affiche les détails des comptes.

  • Analyse

    Une fois la répartition des droits connue en détail, l’administrateur système doit les analyser pour les valider. Il vaut mieux conserver cette répartition aussi minimale que possible.

  • Correction

    Pour minimiser les erreurs que les administrateurs peuvent rencontrer au déploiement de stratégies, la correction se scinde en deux volets :

    1. Stratégie d’exclusion

      On peut créer des règles pour conserver globalement certains comptes d’administrateur dans l’onglet Stratégie d’exclusion. Ces comptes d’administrateur restent sur tous les ordinateurs où ils figurent. L’administrateur système peut choisir de ne conserver que son compte, celui intégré, ou n’importe quel autre selon les besoins.

      Remove Local Admin Rights with ManageEngine Application Control Plus

    2. Suppression d'administrateurs locaux

      Une fois la stratégie d’exclusion finalisée, l’administrateur système peut supprimer les comptes inutiles restants, manuellement ou automatiquement. L’activation de la case Suppression automatique possible sert à supprimer immédiatement tous les autres comptes d’administrateur des groupes d'ordinateurs choisis.

      Pour supprimer manuellement ces comptes, revenez à l’onglet Résumé des droits d'administrateur, sélectionnez les ordinateurs à modifier et cliquez sur le bouton Supprimer les administrateurs locaux. Tous les comptes d’administrateur local des ordinateurs indiqués sont supprimés, sauf ceux conservés avec la stratégie d’exclusion, le cas échéant.

      How to Remove Admin Rights using ManageEngine Application Control Plus

Une fois tous les comptes d’administrateur local inutiles supprimés, l’administrateur système peut créer une liste des applications privilégiées. Il peut ensuite associer la liste à des groupes personnalisés d’appareils pour permettre aux utilisateurs choisis d’exécuter ces applications comme administrateurs, même s’ils ne disposent que de privilèges standards.

Avantages de supprimer des droits d'administrateur local

La gestion des droits d'administrateur local en supprimant les comptes inutiles des ordinateurs contribue à la sécurité du réseau. En effet :

  • Les sites Web et les courriels d’hameçonnage ciblant les utilisateurs pullulent. Les utilisateurs sont souvent victimes de ces attaques et finissent par installer accidentellement des virus sur leurs propres appareils. En supprimant des droits d’administrateur local, l’organisation atténue ces risques, les utilisateurs standards n’ayant pas le privilège d’installer la plupart des logiciels ou programmes malveillants.
  • Les pirates parvenant à accéder à une machine dotée d’un compte d’administrateur local peuvent l’utiliser comme point de départ pour se déplacer dans le domaine, rendant tout le réseau vulnérable. On peut l’éviter en éliminant les comptes privilégiés inutiles.
  • Les utilisateurs à un niveau hiérarchique inférieur manquent parfois d’expertise technique et risquent de dérégler la configuration et les paramètres de leur machine. Les erreurs de configuration d’appareil risquent de nuire au fonctionnement normal et exposent à des vulnérabilités facilement exploitables. La suppression de droits d'administrateur est un moyen efficace de l’éviter.
  • Il faut des droits d’administrateur pour exploiter la plupart des vulnérabilités survenant dans des applications. D’après une étude, l’exécution de Windows sous un compte sans droits d’administrateur élimine 98 % des vulnérabilités critiques sans nuire au fonctionnement.

La solution offre aussi des fonctionnalités avancées de mise en liste verte d’applications, de mise en liste rouge d’applications, de régulation de flexibilité et d’accès juste-à-temps. Elles sont conçues pour répondre aux exigences de sécurité des applications. Découvrez-les toutes avec votre version d’évaluation gratuite de 30 jours d’Application Control Plus.

Questions courantes

Que sont les comptes d’administrateur local ?

On peut classer les comptes d'utilisateur des ordinateurs dans deux catégories : utilisateur standard et administrateur local. Un compte d’administrateur local permet aux utilisateurs d’effectuer des tâches de gestion sur leurs ordinateurs locaux, un utilisateur standard ne disposant que de droits de gestion minimaux ou nuls.

Voici quelques capacités que possèdent les comptes d’administrateur local :

  • Installation et désinstallation de logiciels
  • Ajout ou suppression de périphériques comme les imprimantes
  • Création, suppression et modification de fichiers, des dossiers et d’autres paramètres d'ordinateur
  • Création de comptes pour d’autres utilisateurs sur l’ordinateur

 

Que sont les comptes d’administrateur intégrés ?

Les machines Windows possèdent des comptes d’administrateur intégrés. Ils servent initialement à définir d’autres comptes d’administrateur local ou d’utilisateur standard. Ces comptes possèdent des privilèges similaires au compte d’administrateur local. Toutefois, contrairement aux comptes d’administrateur local, on ne peut jamais les supprimer de la machine, juste les désactiver.