Sécurité : empêcher l’ouverture de session local sur les serveurs Windows

Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Intro

Dans ce tutoriel, nous allons voir comment empêcher l’ouverture de session local sur les serveurs Windows.

Ce qu’il faut savoir, c’est que par défaut tous les utilisateurs sont autorisés à ouvrir une session locale sur Windows sauf pour les contrôleurs de domaine.

Pour les serveurs en groupe de travail (Workgroup), le problème se pose moins mais pour les serveurs membres d’un domaine, tous les utilisateurs peuvent ouvrir une session locale à condition d’avoir un accès physique à la machine où par des outils du type Teamviewer.

Empêcher l’ouverture de session local

Dans le tutoriel, la manipulation est faite en local, il est tout à fait possible de le faire par une stratégie de groupe par l’Active Directory.

Ouvrir la console Editeur de stratégie de groupe locale (gpedit.msc) et aller à l’emplacement Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur. Ouvrir par un double clic le paramètre Permettre l’ouverture d’une session locale 1.

Comme on peut le voir sur la capture ci-dessous, les utilisateurs ont l’autorisation d’ouvrir une session locale (les sessions bureau à distance ne sont pas concernées). Sélectionner Utilisateurs 1 et cliquer sur le bouton Supprimer 2.

Cliquer sur Appliquer 1 et OK 2 pour valider le paramètre.

Maintenant forcer la mise à jour des stratégies de groupe en ouvrant une invite de commande (cmd) en Administrateur et entrer la commande gpupdate /force.

Il n’est maintenant plus possible pour les utilisateurs d’ouvrir une session locale sur le serveur.

Compléments

Dans un environnement Active Directory, il est aussi possible d’utiliser les stratégies d’authentification pour limiter l’ouverture de session sur les serveurs Windows.

Je vous déconseille fortement de supprimer du groupe local Utilisateurs l’objet Utilisateurs du domaine, en procédant ainsi, vous pourriez bloquer l’accès à certaines ressources partagées





Related Posts


Redémarrer ILO

La carte de management ILO sur les serveurs HP peut être redémarrer de façon indépendante du système d’exploitation. 1. Aller sur l'interface Web ILO puis sur Information <<1>> / Diagnosti

Bitlocker : activer le cryptage avec une puce TPM

IntroductionAjouter une puce TPM à un ordinateur virtuel Hyper-V (facultatif)Vérifier la présence d'un module TPMActiver BitlockerConclusionVidéo Introduction Dans ce tutoriel, je vais vous expliquer

Active Directory : stratégie de mot de passe – PSO

SommaireIntroductionCréer une stratégie de mot de passeCréer une seconde stratégieIdentifier la stratégie de mot passe qui s'appliqueIdentifier la stratégie de mot de passe d'un utilisateurIdentifier