Vérrouiller un pc ?

Vérrouiller un pc ? - Sécurité - Windows & Software

Marsh Posté le 04-09-2003 à 16:05:00    

Voilà, supposons que j'ai un pc sous W2000, sous nt4 ou sous xp, avec un compte et un mot de passe.
 
c'est super simple de changer ce mot de passe avec une disquette de boot linux, alors ce que je fais c'est que je vérouille le bios et que j'interdis le boot sur disquette et sur cdrom.  
Mais là comme je suis malin j'enlève la pile de ma carte mere et du coup je réinitialise le bios... :sol:  
Bref
un pc c'est une passoir... :cry:  alors que faire pour sécuriser un pc avec des données sensibles, je me pose la question depuis un bout de temps et à chaque fois je trouve une faille....ou alors je mets un cadenas dessus, je l'enferme dans une boite et je jette la clé ??? :whistle:  
Si quelqu'un à une idée merci !!  :(  

Reply

Marsh Posté le 04-09-2003 à 16:05:00   

Reply

Marsh Posté le 04-09-2003 à 16:07:35    

On ne peut pas securiser un pc a partir du moment ou la personne mal intentioné a un acces physique dessu.
C'est pour ca que dans les entreprises, l'acces au salle machine
est protegée par lecteurs de badge ou autre...

Reply

Marsh Posté le 04-09-2003 à 16:09:30    

oui je suis d'accord mais tu ne peux pas enfermer tous les pc :(  
pour les serveurs , c'est clair qu'ils sont enfermé dans une salle avec en plus des caissons vérouiller, donc déjà physiquement ca devient dur d'accès. Mais pour les autres postes , ca se complique, comme les portables par exemple...

Reply

Marsh Posté le 04-09-2003 à 16:14:13    

croli a écrit :

oui je suis d'accord mais tu ne peux pas enfermer tous les pc :(  
pour les serveurs , c'est clair qu'ils sont enfermé dans une salle avec en plus des caissons vérouiller, donc déjà physiquement ca devient dur d'accès. Mais pour les autres postes , ca se complique, comme les portables par exemple...


 
Tu zip ou tu rar tes documents importants avec un mot de passe. C'est la seule chose à faire. :/

Reply

Marsh Posté le 04-09-2003 à 16:15:10    

C'est quoi que tu veux securiser en fait ?
La seule chose qui peut eventuellement vraiment necesiter de la securité, ce sont les donnes sur le disque dur.
Dans ce cas la, il faut utiliser des logiciels de cryptage.
Si vraiment c'est critique, tu peux associer le cryptage a des
techniques biometriques (lecture de l'empreinte digitale ou autre) pour debloquer l'acces au données.

Reply

Marsh Posté le 04-09-2003 à 16:15:17    

oui c'est un idée...mais un zip avec un mot de passe tu peux les effacer...

Reply

Marsh Posté le 04-09-2003 à 16:16:06    

rien n'empechera jamais quelqu'un de te voler le portable, ca c'est clair. Donc la seule chose que tu peux faire c'est :
- limiter la quantité d'info critique qui se trouve dessu
- et les crypter...

Reply

Marsh Posté le 04-09-2003 à 16:16:25    

croli a écrit :

oui c'est un idée...mais un zip avec un mot de passe tu peux les effacer...


 
Rien ne peut empêcher qqu d'effacer un document sur un PC.  :sol:

Reply

Marsh Posté le 04-09-2003 à 16:19:31    

Tu met tes disque dans des rack extractibles que tu range dans une armoire fermé a clé  :D  
Bon ba pour un portable......... Tu met le portable dans l'armoire fermé a clé  :hello:

Reply

Marsh Posté le 04-09-2003 à 16:21:21    

Hermes le Messager a écrit :


 
Rien ne peut empêcher qqu d'effacer un document sur un PC.  :sol:  


Bah si sous 2000 tu peux... c'est pour ca qu'il y a des comptes users...

Reply

Marsh Posté le 04-09-2003 à 16:21:21   

Reply

Marsh Posté le 04-09-2003 à 16:22:07    

croli a écrit :


Bah si sous 2000 tu peux... c'est pour ca qu'il y a des comptes users...
 


 
Non, c'est supprimable quand même. Et un format est de toutes manières toujours possible...  :D

Reply

Marsh Posté le 04-09-2003 à 16:22:22    

ou la personne qui travail dessu a une clef usb speciale (cryptage hard integre) et l'enleve du portable systematiquement quand il s'en sert plus ou quand il s'absente etc. Tout depend des risques et des activites autour de ce portable.

Reply

Marsh Posté le 04-09-2003 à 16:22:40    

En fait ce n'est pas dans un cas précis, que je cherche une solution mais plutot en général...
Car en fait quelqu'un sur un poste à réussit à changer le mot de passe admin, alors bon à mon tour je l'ai changé et vérouiller le bios, mais bon je me suis vite rendu compte que ca servait à rien ou du moins ca empeche un peu les accès froduleux...mais bon c'est pas top !!!
Donc en fait si un pc est en libre accès c'est la merde.. !!

Reply

Marsh Posté le 04-09-2003 à 16:23:28    

Hermes le Messager a écrit :


 
Non, c'est supprimable quand même. Et un format est de toutes manières toujours possible...  :D  


non si la personne a pas accés au 1 compte

Reply

Marsh Posté le 04-09-2003 à 16:24:00    

Tu enleve tous les cables du pc quand tu n'est pas a coté, resultat garantie  :D

Reply

Marsh Posté le 04-09-2003 à 16:24:01    

croli a écrit :

En fait ce n'est pas dans un cas précis, que je cherche une solution mais plutot en général...
Car en fait quelqu'un sur un poste à réussit à changer le mot de passe admin, alors bon à mon tour je l'ai changé et vérouiller le bios, mais bon je me suis vite rendu compte que ca servait à rien ou du moins ca empeche un peu les accès froduleux...mais bon c'est pas top !!!
Donc en fait si un pc est en libre accès c'est la merde.. !!
 


 
voilà...  [:totozzz]

Reply

Marsh Posté le 04-09-2003 à 16:24:31    

Alana a écrit :

ou la personne qui travail dessu a une clef usb speciale (cryptage hard integre) et l'enleve du portable systematiquement quand il s'en sert plus ou quand il s'absente etc. Tout depend des risques et des activites autour de ce portable.


Oui mais ca reste assez honéreux comme systeme..
Et pour en revenir au cryptage c'est lourd quand tu dois utiliser des fichiers quotidiennement...

Reply

Marsh Posté le 04-09-2003 à 16:24:37    

Bein oui... Encore une fois un PC en libre acces, on peut meme imaginer qu'il soit volé purement et simplement. (ou alors juste ouvert et le voleur prend la piece qu'il veut..)
Bon il existe peut etre des boitiers PC speciaux un peu plus resistant que la moyenne et qui ferme avec une clef etc, mais perso j'en ai jamais vu.. Ce genre de chose se trouve plus sur les stations unix.

Reply

Marsh Posté le 04-09-2003 à 16:24:41    

croli a écrit :


non si la personne a pas accés au 1 compte  


 
Sous dos, un format bas niveau est TOUJOURS possible...  :sarcastic:

Reply

Marsh Posté le 04-09-2003 à 16:25:55    

Citation :


Oui mais ca reste assez honéreux comme systeme..  
Et pour en revenir au cryptage c'est lourd quand tu dois utiliser des fichiers quotidiennement...  


Pourquoi lourd ? c'est pas chaque fichier qui est crypte, mais le systeme de fichier lui meme.. donc tu as une partition ou un disque ou ce que tu veux auquel tu n'a pas acces avant d'etre identifie d'une facon ou d'une autre (mot de passe etc). Une fois identifié, tu as acces a tout jusqu'au prochain reboot... ou au moins jusqu'a ce que le user se delogue.


Message édité par Alana le 04-09-2003 à 16:26:28
Reply

Marsh Posté le 04-09-2003 à 16:27:24    

Donc si je résume :
1 pc est une passoire,  
1)donc j'aurais toujours des users qui feront joujou sur les pc à démonter les config. :cry:  
2)si on nous vole un portable bah faut priere que c'est un neuneu qui la et qu'il fait juste un format sans regarder les données qu'il y a dedans !!  :whistle:

Reply

Marsh Posté le 04-09-2003 à 16:28:19    

Alana a écrit :

Citation :


Oui mais ca reste assez honéreux comme systeme..  
Et pour en revenir au cryptage c'est lourd quand tu dois utiliser des fichiers quotidiennement...  


Pourquoi lourd ? c'est pas chaque fichier qui est crypte, mais le systeme de fichier lui meme.. donc tu as une partition ou un disque ou ce que tu veux auquel tu n'a pas acces avant d'etre identifie d'une facon ou d'une autre (mot de passe etc). Une fois identifié, tu as acces a tout jusqu'au prochain reboot... ou au moins jusqu'a ce que le user se delogue.


Alors explique moi comment ca marche, une os qui crypte par exmeple les données d'une session car ca m'interesse !

Reply

Marsh Posté le 04-09-2003 à 16:32:43    

Bein j'ai jamais mis en pratique hein...
Mais en theorie ca pose aucun probleme... En fait tu crypte
l'integralite d'un systeme de fichier. L'OS ne peut rien faire avec donc, tant que tu ne lance pas le programme qui va le decrypter de facon transparente (en lecture) ou crypter (en ecriture). Tout cela etant transparent pour l'utilisateur qui a juste a s'autentifier au depart.
Ensuite c'est a toi de parametrer combien de temps cette autentification est valable (le temps d'une session, tant que la machine n'est pas rebooté, ou juste 5 minutes.. j'en sais rien moi j'ai pas teste simpleemnt je pense que ca marche comme ca).

Reply

Marsh Posté le 04-09-2003 à 16:34:44    

Alana a écrit :

Bein j'ai jamais mis en pratique hein...
Mais en theorie ca pose aucun probleme... En fait tu crypte
l'integralite d'un systeme de fichier. L'OS ne peut rien faire avec donc, tant que tu ne lance pas le programme qui va le decrypter de facon transparente (en lecture) ou crypter (en ecriture). Tout cela etant transparent pour l'utilisateur qui a juste a s'autentifier au depart.
Ensuite c'est a toi de parametrer combien de temps cette autentification est valable (le temps d'une session, tant que la machine n'est pas rebooté, ou juste 5 minutes.. j'en sais rien moi j'ai pas teste simpleemnt je pense que ca marche comme ca).


 
C'est vrai que ca pourrait etre pas mal comme solution, mais tu sais où trouver ca ?? je suppose que c'est payant, mais je suppose aussi que le démarrage doit etre assez long, si t'as plusieurs centaine de fichier à decrypter.. non ?
il faudrait pouvoir le tester.... si quelqu'un sait ?

Reply

Marsh Posté le 04-09-2003 à 16:37:27    

le demarage n'est pas plus long car il ne decrpte les fichiers qu'au fur et a mesure lorsque l'utilisateur essaye de les ouvrir. Je suppose qu'il existe des tas de programmes pour faire ca... Tu peux aussi utiliser le cryptage fournit en standard avec Windows (surement pas le meilleur, mais au moins c'est deja integré). Tu as des infos ici :
 
http://www.microsoft.com/france/te [...] t5efs.html
 
Evidement le cryptage/decryptage a la volée ca doit quand meme utiliser un peu le cpu... donc bein faut juste veiller a pas avoir un PC trop limite au niveau cpu j'imagine...

Reply

Marsh Posté le 04-09-2003 à 16:38:20    

http://www.topachat.com/pages/prod [...] p_ht=n&mc=
 
Regarde le systeme de cryptage a 85?
 
 :hello:

Reply

Marsh Posté le 04-09-2003 à 16:40:17    


 
intéressant...

Reply

Marsh Posté le 04-09-2003 à 16:44:30    

Alana a écrit :

le demarage n'est pas plus long car il ne decrpte les fichiers qu'au fur et a mesure lorsque l'utilisateur essaye de les ouvrir. Je suppose qu'il existe des tas de programmes pour faire ca... Tu peux aussi utiliser le cryptage fournit en standard avec Windows (surement pas le meilleur, mais au moins c'est deja integré). Tu as des infos ici :
 
http://www.microsoft.com/france/te [...] t5efs.html
 
Evidement le cryptage/decryptage a la volée ca doit quand meme utiliser un peu le cpu... donc bein faut juste veiller a pas avoir un PC trop limite au niveau cpu j'imagine...


je suis en train de regarder le principe...

Reply

Marsh Posté le 04-09-2003 à 16:54:44    

pas mal de systeme de cryptage sous W2000, je ne connaissais pas du tout !! ca m'à l'air assez simple d'utilisation...
J'ai fais quelque test...  mais apparement le seul soucis de ce principe c'est les fichiers temporaires... qui ne sont pas cryptés..

Reply

Marsh Posté le 04-09-2003 à 17:00:23    

bon pour les temps, il suffit de cryper le dossier tmp, par contre un autre soucis, c'est que l'on ne peut pas partager ces données...

Reply

Marsh Posté le 04-09-2003 à 17:50:26    

Bonjour,
il existe des solutions professionnelles de cryptage de disques durs ou tout autre unité de stockage.
Tu as une sécurité lors du boot --> boot crypté, une solution de cryptage de partition ou disque dur, une solution de mot de passe sur carte à puce (tu enlèves la carte à puce le poste est verrouillé)...
Tout dépend du budget et du niveau de sécurité que tu veux implémenter sur tes pcs sensibles.
L'une des sociétés les plus expérimentées dans ce domaine est une société allemande nommée utimaco. www.utimaco.de/eng/indexmain.html
Il faut aussi savoir que tu peux bloquer tout ou partie du pc avec des clés de registre afin de limiter au maximum les possibilités du système d'exploitation (ex : mise en place de borne intranet).
Tu as aussi de grandes sociétés comme rsasecurity sécurisation de solutions mobiles (www.rsasecurity.com) ou zalix pour la biométrie (www.zalix.fr).
 
Voila j'espère avoir répondu à ta demande, maintenant il te reste à choisir la solution la plus adaptée à tes besoins.
 
Amicalement,
Denis.

Reply

Marsh Posté le 05-09-2003 à 09:09:00    

Merci pour tous ces renseignements trés intéressant d'ailleurs, mais à part la solution de cryptage de W2000 le reste reste assez honéreux...
Mais en tout cas, ca prouve bien que Microsoft est encore bien loin de protéger nos pc, sans parlé des risques du net...

Reply

Marsh Posté le 05-09-2003 à 09:59:18    

Bein.. c'est pas son role non plus !
En tout cas moi je vois pas ca comme ca.
On dirait que tu attend me systeme paladium bidule avec impatience toi :(

Reply

Marsh Posté le 05-09-2003 à 10:08:12    

non non pas forcément!!! je disais juste que pour une entreprise ca devient franchement compliqué de protéger ces machines, c'est tout... je ne suis pas un maniac de la protection de données...
Mais je constate juste qu'il est franchement compliqué de sécurisé une machine dite sensible!! ou alors il faut avoir un  énorme budget pour ca !! ;)

Reply

Marsh Posté le 05-09-2003 à 10:10:59    

Toujours mettre les données sensible sur un serveur qui est dans un bunker ?

Reply

Marsh Posté le 05-09-2003 à 10:11:52    

oui c'est une idée....
Mais simplement protéger un pc ou un portable d'éventuells utilisateurs mal intentionnés!! ;)

Reply

Marsh Posté le 05-09-2003 à 10:12:07    

croli a écrit :

Voilà, supposons que j'ai un pc sous W2000, sous nt4 ou sous xp, avec un compte et un mot de passe.
 
c'est super simple de changer ce mot de passe avec une disquette de boot linux, alors ce que je fais c'est que je vérouille le bios et que j'interdis le boot sur disquette et sur cdrom.  
Mais là comme je suis malin j'enlève la pile de ma carte mere et du coup je réinitialise le bios... :sol:  
 


Pour éviter d'enlever la pile, tu met un cadnas sur le boitier. Si t'as pas d'emplacement pour un cadnas... euh change le boitier pour un qui marche avec des clef.

Reply

Marsh Posté le 05-09-2003 à 10:14:23    

croli a écrit :

oui c'est une idée....
Mais simplement protéger un pc ou un portable d'éventuells utilisateurs mal intentionnés!! ;)  


 
Ben si une personne a acces au portable il devra se connecter obligatoirement au serveur.

Reply

Marsh Posté le 05-09-2003 à 10:20:27    

Je sais pas ou tu en ai, j'ai lu a peu près la premiere page et tu as la possibilité suivante : combinaison matérielle et logiciel.
 
1. Virer les PC et mettre des terminaux ou bien enlever les lecteur physique sur les PC
2. Mettre un logiciel type Winlock sur les postes clients en bridant tous le nécessaire
3. Selon les versions de windows utiliser les parametres de sécurités intégrer.
4. Eviter de stocker les documents important directement sur le poste clients (stockage direct sur serveur, linux par exemple)
5. Utiliser le PC client est tant que bureau déporter (bureau TSE ou citrix via des serveur d'application et stockage sur serveur linux)
6. changer les mot de passe important régulierement
7. Une combinaison de ces différent points
 
8. le 7. est la meilleur solutions
 
On utilise au taf un systeme de ce type et la je te garantie que beaucoup on abandonné, et on n'a plus de problème depuis quelque année.
Certe il y en a toujours un gas plus intéligent que les autres qui nous dit qu'il va trouve la solutions (surtout les petits nouveaux) mais aujourd'hui on attend encore sa solution.

Reply

Marsh Posté le 05-09-2003 à 10:41:33    

yvandlb a écrit :

Je sais pas ou tu en ai, j'ai lu a peu près la premiere page et tu as la possibilité suivante : combinaison matérielle et logiciel.
 
1. Virer les PC et mettre des terminaux ou bien enlever les lecteur physique sur les PC
2. Mettre un logiciel type Winlock sur les postes clients en bridant tous le nécessaire
3. Selon les versions de windows utiliser les parametres de sécurités intégrer.
4. Eviter de stocker les documents important directement sur le poste clients (stockage direct sur serveur, linux par exemple)
5. Utiliser le PC client est tant que bureau déporter (bureau TSE ou citrix via des serveur d'application et stockage sur serveur linux)
6. changer les mot de passe important régulierement
7. Une combinaison de ces différent points
 
8. le 7. est la meilleur solutions
 
On utilise au taf un systeme de ce type et la je te garantie que beaucoup on abandonné, et on n'a plus de problème depuis quelque année.
Certe il y en a toujours un gas plus intéligent que les autres qui nous dit qu'il va trouve la solutions (surtout les petits nouveaux) mais aujourd'hui on attend encore sa solution.


 
Merci pour ces idées !!
Pour 1 : on ne peut pas virer les lecteurs sur les postes distants... ils en ont besoin les users !!  ;)  
pour 2 : Ca marche comment ?
pour 4 et 5 : J'ai déjà mis en oeuvre TSE au siège, mais ca se complique pour des postes portables ou déportés... qui doivent garder des infos en local, meme si c'est synchronisé sur un serveur lorsqu'il se connecte ( pour les portables du moins )
pour 6 : les mots de passe sont changés trés régulièrement avec historique, mini de caractere etc...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed