de Rob Sobers
Pour maintenir des contrôles d’accès appropriés, il est essentiel de comprendre à quoi correspond chaque entité figurant dans une liste de contrôle d’accès (ACL), y compris les identités implicites intégrées à l’environnement Windows.
Il existe de nombreux comptes prédéfinis avec des noms obscurs et des descriptions vagues, et on a parfois du mal à s’y retrouver. Une question que l’on me pose souvent est la suivante : « Quelle est la différence entre le groupe Tout le monde et les Utilisateurs authentifiés ? »
Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit
En bref
Utilisateurs authentifiés couvre tous les utilisateurs ayant ouvert une session avec un nom d’utilisateur et un mot de passe.
Tout le monde couvre tous les précédents ainsi que des comptes prédéfinis non protégés par un mot de passe tels qu’Invité et LOCAL_SERVICE.
De façon un peu plus détaillée
Si les descriptions ci-dessus sont un peu trop sommaires pour vous, voici quelques détails supplémentaires.
Le groupe Authenticated Users comprend tous les utilisateurs dont l’identité a été authentifiée lors de l’ouverture de la session. Cela comprend les comptes d’utilisateurs locaux ainsi que tous les comptes d’utilisateurs de domaine provenant de domaines de confiance.
Le groupe Tout le monde comprend tous les membres du groupe Utilisateurs authentifiés ainsi que le compte intégré Invité, et plusieurs comptes de sécurité intégré tels que SERVICE, LOCAL_SERVICE, NETWORK_SERVICE.
Un compte Invité est un compte intégré sur un système Windows qui est désactivé par défaut. S’il est activé, il permet à n’importe qui d’ouvrir une session sans mot de passe.
Contrairement à ce que l’on croit parfois, les personnes ayant ouvert une session anonymement (c’est-à-dire sans authentification) NE SERONT PAS incluses dans le groupe Tout le monde. C’était autrefois le cas, mais ce n’est plus le cas depuis Windows 2003 et Windows XP (SP2).
Conclusion
En matière de permissions, une question essentielle à laquelle nous devons pouvoir répondre est la suivante : quelles personnes ont accès à une ressource particulière ?
La plupart du temps, lorsque vous examinez les permissions d’une certaine ressource dans Windows, vous n’avez pas affaire à des personnes (il s’agit ici d’une bonne pratique) ; au contraire, vous avez affaire à des groupes, dont certains ont des identités implicites avec des noms ambigus. Pour cette raison, il est souvent nécessaire de creuser un peu avant d’obtenir ce que l’on souhaite.
Avec DatAdvantage de Varonis, vous pouvez à tout moment, en un seul clic, connaître les personnes ayant accès à une ressource donnée. Et donc, lorsque votre DG dit : « Qui a accès à Secrets commerciaux.doc ? », vous pouvez apporter une réponse sensée et exploitable au lieu de démarrer un jeu de piste.
The post La différence entre Tout le monde et Utilisateurs authentifiés appeared first on Varonis Français.
What should I do now?
Below are three ways you can continue your journey to reduce data risk at your company:
Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.
See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.
Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.
