Les informations de sécurité spécifique à un utilisateur sont stockés dans 2 emplacements sous l’arborescence HKLM\SAM\SAM\Domains\Account\Users1. L’une des entrées correspond à l’identifiant unique de l’utilisateur et l’autre à son nom. Cette deuxième entrée contient seulement l’identifiant unique.
Pour des raisons de sécurité, il est conseillé d’interdire l’énumération de comptes et de partages dans la SAM aux utilisateurs anonymes sous Windows 2003 et XP. L’inconvénient est que cela pose des problèmes de compatibilité avec NT 4.
Cette fonctionnalité est paramétrée dans la base de registre par les 2 valeurs RestrictAnonymous2 et RestrictAnonymoussam, dans la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\LSA (LSA signifie ici Local Subsystem Authority, voir Lsass.exe).
Dans Windows 2003 et XP, ces 2 paramètres du registre sont modifiés via la console de management secpol.msc. Sur une version de Windows en français, cet utilitaire est appelé par défaut Stratégie de sécurité locale dans les outils d’administration. Lorsqu’on clique dessus, la fenêtre qui s’affiche s’appelle Paramètres de sécurité locaux. Les deux options relatives à l’énumération par un utilisateur anonyme sont dans Stratégies locales/Options de sécurité.
Commentaires (Pas de résponses )
No comments yet.