qu'en pensez vous ?  
ci dessous une decription precise de mon ami Fred0 (elle est parfait donc je ne la reformule pas)
----------------------------------
Bonjour à Tous,
 
Voici une petite éxpérience à laquelle je me suis livré et qui serai peut-être une faille dans la sécurité de Windows. Dites-moi ce que vous en penser.
 
- En se connectant avec le compte administrateur local sur un pc en workgroup, il possible de mapper les lecteurs C$ et D$ (par la commande \\adresse_ip\d$ ou \\nom_machine\d$) d'un bon nombre de pc du domaine GAIA.
- De même, avec le compte administrateur local sur un pc du domaine Gaia vers un pc en workgroup.
- De même, avec le compte administrateur local sur un pc du domaine Gaia vers un pc du domaine Gaia.
 
Tous ces test ont été faits avec des machines masterisées ou non masterisées, en W2000 SP 3 ou XP SP1. Le seul dénominateur commun c'est qu'elles ont le même mot de passe pour le compte administrateur local. Si l'on change sur un des pc le password du compte administrateur local l'authentification est de nouveau nécéssaire pour mapper un lecteur.
 
Ce qui voudrait dire que l'authentification entre deux postes se fait simplement par administrateur + password et nom par \\nomdemachine\administrateur +password.
en français, si je suis administrateur de ma machine, je suis administrateur de toutes les machines si le mot de passe est identique sur d'autre postes (sans m'authentifier comme l'administrateur de l'autre machine, puisque je passe en attaquanr directement le d$ (sans passer par "se connecter en tant que" ))
 
Cependant cette "anomalie" est effective depuis peu car il y deux semaines cette expérience ne fonctionnait pas.
 
J'attend vos remarques.
 
 
A+
 
 
Fred

T'es super balèze, y'a pas à dire    
 

 
  toi le petit malin, tu devrais peut être apprendre à lire...
 
ceci :
Ce qui voudrait dire que l'authentification entre deux postes se fait simplement par administrateur + password et nom par \\nomdemachine\administrateur +password.  
 
et bien c'est grave mec !
 
parceque, normalement tu dois te connecter en tant que \\2ememachine\administrateur + mot de passe connu pour mapper le partage adminstratif (c$, d$..)
si tu mappe le disque directos et que le mappage s'active, c pas terrible... (je te rappelle que sur \\1eremachine on est identifié comme \\1eremachine\administrateur et donc aucun droit sur \\2èmemachine ...

a partir du moment ou le couple User/password est bon, windows ne fait pas d'identification de la machine qui a autorisé l'ouverture de session donc tu es reconnu en local.
 

 
J'ai bien lu.
Ce que tu as découvert existe depuis un sacré temps, depuis Windows NT 4.
Et y'a pas à s'inquiéter si le login/password est pas bidon.

depuis quand un admin local a les droits d'accès aux partages administratifs sur un domaine si ce n'est depuis que l'administrateur est assez pinot pour foutre les mêmes paramètres pour l'admin local que pour l'admin global!?

 
? ... pour preciser un peu plus :
 
la situation sont des PC stations en Win2KPro en reseau (integrés ou non dans un domaine n'a pas d'incidence particulière, testé)
On peut tres bien et depuis toujours se connecter sur un partage administratif distant, si l'on se fait passer pour l'administrateur local de la machine distante (puisque nativement, l'administrateur local et l'administrateur du domaine sont integrés au groupe Admins de chaque PC ss Windows (nt/2k)).
     bref, rien à voir avec des parametrages entre l'admin locale et globale (ça veut dire du domaine chez toi je suppose?,attention c peu precis).
 
Les postes sont masterisés, donc tous les comptes admins locaux sont identiques, inconnus de nos utilisateurs (meme si certains peuvent le changer) et modifié chaque mois sur tous les PCs via l'active directory.
  Même si à priori, en dehors de l'equipe info, la situation decrite plus haut ne devrait pas se produire entre 2 utilisateurs, le hasard est toujours possible, et c'est bel et bien un trou de securité, que ce soit come ça et pas autrement n'est pas une solution pour un professionel...

 
quand l'admin est un con qui laisse les droits aux admins locaux et laisse le compte admin activé en local voir n'y met pas de mdp...
 
(et y en a quelques uns )

 
je ne suis pas sur que tu comprennes vraiment ce que tu écris

je suis navré, mais c très clair pour moi, fais une petite formation Admin des postes Win2K, ça t'aideras à comprendre.
 
 
sans abuser, je vais tenter un schema :
 
PCTOTO et PCTUTU sont sur un même reseau
le compte Administrateur local sur PCTOTO et PCTUTU sont identiques (meme nom et meme mot de passe mais SID différent !!!)
 
1/Situation Normal:
je suis connecté sur PCTOTO en Administrateur local
je demande la connexion à \\PCTUTU\D$ en precisant d'ouvrir la connexion en tant que \\PCTUTU\Administrateur + le bon mot de passe --> la connexion est acceptée.
 
2/Situation Anormal:
je suis connecté sur PCTOTO en Administrateur local
je demande la connexion à \\PCTUTU\D$ et je clique OK --> la connexion est acceptée.
 
alors, je veux bien que vous ne voyez rien de choquant a reussir à se connecter au Disque d'un autre PC en utilisant le meme compte et le meme mot de passe, mais moi, toujours pour schematiser, si mon voisin porte le meme Nom que moi et à acheté la meme marque de serrure pour sa porte d'entrée que moi : ça me choque qu'il puisse penetrer dans ma maison !!!
 
... et c'est exactement ça, dans cette situation, le SID est completement inopérant, c'est donc un TROU DE SECURITE.
moi, j'appelle un chat, un chat.

 
merci pour ta reponse, s'il est est juste, elle à déjà le mérite de repondre au pourquoi de la situation décrite (sans polemique enfantine) ; mais je maintiens qu'elle soulève un vrai probleme de securite sur Windows (2000 et XP en tous cas)
 
 message pour krapaud > tu vois que c'est comprehensible avec un peu d'effort! (et de connaissance aussi)
je n'ai rien contre toi, malgré tes reponses à mon poste aussi inutiles que limites ; mais ici c'est un forum d'aide et de connaissance, sinon pour se foutre sur la gueule pour pas 1 rond: rv à blabla.

 
 
----> comment tu desactives un compte administrateur local ?, sachant que c'est un compte prédéfini ? (il me semblait que tu pouvais tout juste le renommer, mais ni le supprimer, ni le retirer du groupe Admins...)
 
----> il est vrai que si Microsoft n'est rien foutu de faire à ce niveau là, on va devoir changer de stratégie pour les mots de passes Admin locaux : mais gerer une base de mot de passe aléatoires sur 2000PCs c'est lourdingues!  
 
bref, tous conseils strategique et pratique sur un grand parc info (en dehors de passer à Linux, pas possible) sera bien accueilli...

J'ai beau chercher, je vois toujours pas en quoi c'est un probleme de securité, ni ce que viennent faire les SID la dedans. L'authentification se fait avec le login et le mot de passe, pas avec autre chose.
 
De toutes facons, soit les gens connaissent le login et le mdp de l'admin local et ont acces a tous les postes, soit ils ne l'ont pas et le probleme ne se pose pas.  

tu ferai bien de revoir ton bordel avant d'appeler ca un trou de sécu, c'est complètement normal ...

enfin ce que j'appelle bizarre c'est que un gar sur un pc nt avec un user disons "poil" puisse accéder sans mdp à tous les partages d'un pc sous 98 avec le user "poil" mais 98 n'ayant pas le meme mdp que le nt

 
98 ne marche pas du tout comme ca par defaut, tu mets ou non un mot de passe sur un partage donné, c'est tout, si tu mets rien, tout le monde rentre.
Et puis comparer les 9x et les NT5 niveau secu, c'est un peu le jour et la nuit.

Moi j'appelle ça un trou de sécurité.
 
Ma façon de faire :
 
Un accès à une autre machine sous linux ou windows se fait par protocole SSH ou FTP, telnet est désactivé et filtré, de même que le partage de fichiers windows ou NFS est éliminé partout.
 
de même que les accès distants par certaines applications comme Oracle se fait par tunnel sécurisé SSL via JSSE Java.

 
quand tu fait du ftp, tu t'identifies bien par un user+mdp et rien d'autre, alors n'est ce pas non plus un trou de securité?

 
Je vois pas en quoi un Administrateur local peut administrer une autre machine sans être authentifié même si le mot de passe est le même, ça reste un trou de sécurité!

 
La c'est pas de l'administration mais de l'acces a un partage. Et il est bien authentifié, puisque si son login et son mdp ne corresponde pas, il n'aura pas acces.

 
tu voudrais qu'il s'identifie comment alors?
 
a noter que dans les entreprises on utilise souvent cette fonctionnalité (pour que les techniciens puissent intervenir sur les machines sans pour autant etre admin du domaine)

 
Y qu'a pas se logger en admin local, c'est tout, après le problème est plutôt là qu'autre chose.
 
Sinon faut gerer ses ACLs en fonction de GOP n'utilisant pas les groupes admin and co mais des utilisateurs ou groupes d'utilisateurs supplémentaires, ce qui doit eviter le pb, non ?

 
moi je voudrais qu'on lui demande de ressaisir son mot de passe...

 
Supair, ca fait 3 secondes de "securité" en plus le temps de taper son login et son mot de passe

Personellement, je pense qu'il ne faut pas confondre "trou de sécurité" & "fonctionalité" ...
L'accès au réseau pour les environnements Microsoft a toujours été "Ouvert" (mais sécurisable) contrairement à des systèmes UNIX afin d'en faciliter la gestion et la déploiement.
 
A partir du moment ou l'on souhaite sécuriser un temps soit peu un réseau Microsoft, il faut commencer par apprendre réellement à s'en servir et à ne plus le considérer comme un jouet autoconfigurable qui se plie au moindre désir de son utilisateur... Les options disponibles sont innombrables et nécessitent de solides compétences avant de pouvoir les maîtriser parfaitement (ce qui n est jamais vraiment le cas d'ailleurs)...
 
Et oui, C'est un métier d'être Administrateur, ca s'apprend et ca se paufine tous les jours.. Un admin UNIX n'est pas Admin W2K et réciproquement... Dans les 2 cas, chacun se doit de maîtriser parfaitement le système qu'il manipule...
 
Cela étant, la fonctionalité décrite dans ce post comme un problème ne l'est vraiment que si l'on souhaite utiliser le système incorrectement. Tous les administrateurs savent précisent bien qu'il est primoridal de ne pas laisser le compte Administrateur à disposition des utilisateurs ( les rendre power user au besoin), de renommer ce compte et d'y associer un mot de passe complexe .. Bref, on pourrait en dire des tonnes !
 
Excusez moi pour la longueur, mais c est assez lassant d'entendre toujours "Crosft c 'est pas bien", "windaube ca plante", " c est le système le plus buggé" etc etc... alors qu'il s'agit simplement d'un manque de connaissances profondes du système Sous UNIX, on connait pas, on touche pas ( on peut pas tte facons), sous windows, on clique n'importe ou sans savoir les conséquences et on se croit le roi du monde.... Je dis pas ca du tout pour les auteurs de ce POST, j en profite pour me défouler !!

 
 
non ça s'appelle un mauvais administrateur.

 
merci pour cette remarque, mais je crois que tu ne prends pas le problème dans le bon sens.

 
bien sur qu'il est identifié!

ki c ki tombe à l'eau ?

 
Pas mal

 
 mouais, ça c'est gerable dans une PME, bcp moins dans une multinationale... (va t'amuser a chaque fois que tu installes une becane, modifier le nom de l'administrateur -->faut de l'imagination sur + de 2000 postes! et un mot de passe différent sur tous les postes! (qu'est-ce qui t'assure que tous les techniciens, ne serait-ce qu'au niveau national dans ta boîte le feront vraiment ?)
 
  non, et cela est valable pour presque tous ici, j'ai bien compris ce que vous souhaitez dire par "je prend le probleme à l'envers) mais n'empeche que...  si tout le monde comme vous c'etait dit que la secu de  windows 95 valait ce qu'elle valaist et qu'il fallait l'utiliser au mieux avec poledit alors WinNt et 2K ne serait jamais sortie le gars !

bref,  
 
  comme c'est mort jusqu'au mieux .NET ... va en effet falloir faire avec.
 
je pense qu'on va demander à notre admin AD, d'executer au startup des Pcs le script de modfification du mot de passe LOCAL\Administrateur bcp plus souvent, c tout.
(puisque une machine nouvellement installé ici, possède toujours le meme mot de passe par défaut (celui du master-image temoin).
 
  Merci sincerement @ tous pour le débat engagé, il n'est surement pas clos, mais malgré les petites tensions bien vite oubliés, c'est toujours tres instructif de partager.
 
Merci à Krapaud, de ne pas s'etre emporté, c'est mature, mais ce serait vraiment cool que la prochaine fois tu depasses la ligne pour developper serieusement toutes affirmations trop svt brute, et donc peu credible (meme si le fond, absent, est peut etre plein de sens et d'experience, mais pour cela il faut depasser la ligne de caractere - c'est pas parole d'evangile l'info .
 
 a++