La différence entre Tout le monde et Utilisateurs authentifiés

de Rob Sobers

Pour maintenir des contrôles d’accès appropriés, il est essentiel de comprendre à quoi correspond chaque entité figurant dans une liste de contrôle d’accès (ACL), y compris les identités implicites intégrées à l’environnement Windows.

Il existe de nombreux comptes prédéfinis avec des noms obscurs et des descriptions vagues, et on a parfois du mal à s’y retrouver. Une question que l’on me pose souvent est la suivante : « Quelle est la différence entre le groupe Tout le monde et les Utilisateurs authentifiés ? »

En bref

Utilisateurs authentifiés couvre tous les utilisateurs ayant ouvert une session avec un nom d’utilisateur et un mot de passe.

Tout le monde couvre tous les précédents ainsi que des comptes prédéfinis non protégés par un mot de passe tels qu’Invité et LOCAL_SERVICE.

De façon un peu plus détaillée

Si les descriptions ci-dessus sont un peu trop sommaires pour vous, voici quelques détails supplémentaires.

Le groupe Authenticated Users comprend tous les utilisateurs dont l’identité a été authentifiée lors de l’ouverture de la session. Cela comprend les comptes d’utilisateurs locaux ainsi que tous les comptes d’utilisateurs de domaine provenant de domaines de confiance.

Le groupe Tout le monde comprend tous les membres du groupe Utilisateurs authentifiés ainsi que le compte intégré Invité, et plusieurs comptes de sécurité intégré tels que SERVICE, LOCAL_SERVICE, NETWORK_SERVICE.

Un compte Invité est un compte intégré sur un système Windows qui est désactivé par défaut. S’il est activé, il permet à n’importe qui d’ouvrir une session sans mot de passe.

Contrairement à ce que l’on croit parfois, les personnes ayant ouvert une session anonymement (c’est-à-dire sans authentification) NE SERONT PAS incluses dans le groupe Tout le monde. C’était autrefois le cas, mais ce n’est plus le cas depuis Windows 2003 et Windows XP (SP2).

Conclusion

En matière de permissions, une question essentielle à laquelle nous devons pouvoir répondre est la suivante : quelles personnes ont accès à une ressource particulière ?

La plupart du temps, lorsque vous examinez les permissions d’une certaine ressource dans Windows, vous n’avez pas affaire à des personnes (il s’agit ici d’une bonne pratique) ; au contraire, vous avez affaire à des groupes, dont certains ont des identités implicites avec des noms ambigus. Pour cette raison, il est souvent nécessaire de creuser un peu avant d’obtenir ce que l’on souhaite.

Avec DatAdvantage de Varonis, vous pouvez à tout moment, en un seul clic, connaître les personnes ayant accès à une ressource donnée. Et donc, lorsque votre DG dit : « Qui a accès à Secrets commerciaux.doc ? », vous pouvez apporter une réponse sensée et exploitable au lieu de démarrer un jeu de piste.

 

The post La différence entre Tout le monde et Utilisateurs authentifiés appeared first on Varonis Français.