Sécurité : empêcher l’ouverture de session local sur les serveurs Windows


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Introduction

Dans ce tutoriel, nous allons voir comment empêcher l’ouverture de session local sur les serveurs Windows pour les utilisateurs standards.

Ce qu’il faut savoir, c’est que par défaut tous les utilisateurs sont autorisés à ouvrir une session locale sur Windows sauf pour les contrôleurs de domaine.

Pour les serveurs en groupe de travail (Workgroup), le problème se pose moins mais pour les serveurs membres d’un domaine, tous les utilisateurs peuvent ouvrir une session locale à condition d’avoir un accès physique à la machine où par des outils du type Teamviewer.

Empêcher l’ouverture de session local

Dans le tutoriel, la manipulation est faite en local, il est tout à fait possible de le faire par une stratégie de groupe par l’Active Directory.

Ouvrir la console Editeur de stratégie de groupe locale (gpedit.msc) et aller à l’emplacement Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur. Ouvrir par un double clic le paramètre Permettre l’ouverture d’une session locale 1.

Comme on peut le voir sur la capture ci-dessous, les utilisateurs ont l’autorisation d’ouvrir une session locale (les sessions bureau à distance ne sont pas concernées). Sélectionner Utilisateurs 1 et cliquer sur le bouton Supprimer 2.

Cliquer sur Appliquer 1 et OK 2 pour valider le paramètre.

Maintenant forcer la mise à jour des stratégies de groupe en ouvrant une invite de commande (cmd) en Administrateur et entrer la commande gpupdate /force.

Il n’est maintenant plus possible pour les utilisateurs d’ouvrir une session locale sur le serveur.

Pour aller plus loin

Dans un environnement Active Directory, il est aussi possible d’utiliser les stratégies d’authentification pour limiter l’ouverture de session sur les serveurs Windows.

Je vous déconseille fortement de supprimer du groupe local Utilisateurs l’objet Utilisateurs du domaine, en procédant ainsi, vous pourriez bloquer l’accès à certaines ressources partagées




Laisser un commentaire