Sécurité locale des Windows* en réseau d'entreprise (admins demandés)

Sécurité locale des Windows* en réseau d'entreprise (admins demandés) - Windows & Software

Marsh Posté le 08-01-2003 à 21:33:20    

Progressivement, les systèmes Win9x (cons mais fermés, donc peu dangereux) sont remplacés par des Win2k/XP (plus ouverts mais aussi bien sécurisés dans leur config standard que ma cabane au fond du jardin).
 
Un poste Win2k/XP standard acheté chez votre gros fabriquant préféré est généralement livré préinstallé avec un compte administrateur sans mot de passe et la quatre vingt douzaine de services standard Windows démarrés, le serveur de fichiers et l'éditeur de registre à distance en tête de liste.
Puis ce poste est configuré pour se connecter au serveur Windows ou Netware sous le nom de l'utilisateur, et généralement le compte administrateur local reste en place.
Ce qui permet aux utilisateurs peu scrupuleux de faire joujou avec le PC du voisin ou de la secrétaire de direction.
 
J'aimerais savoir quelle est la stratégie de sécurité locale appliquée chez vous:
 

  • "simple" désactivation de tous les services, le PC restant accessible localement sans mot de passe mais plus par le réseau

(est-il vraiment possible de désactiver tous les "services" dangereux dans Win2k/XP? :/)
 

  • mise en place d'un mot de passe sur le compte admin local ?

(de préférence différent sur chaque PC, ce qui devient vite ingérable :/)
 

  • suppression de toute trace de compte local sur le PC?

(possible uniquement si l'utilisateur est authentifié dans un domaine NT, et problématique en cas de panne réseau)
 

  • autre?


 
En particulier dans le cas d'un réseau Novell, qui nécessite une double autentification Windows + Netware sur les clients, comment procédez-vous?
 

  • connexion de l'utilisateur sur le compte admin, sans mot de passe? (moyen :/) ou avec? (ingérable :()


  • création d'un compte au nom de l'utilisateur sur chaque poste sur lequel il est susceptible de se connecter? (ingérable :()


  • couplage avec un domaine NT? (2 fois plus de licences à payer :()


Merci de me (/nous) faire profiter de votre expérience. :D

Reply

Marsh Posté le 08-01-2003 à 21:33:20   

Reply

Marsh Posté le 09-01-2003 à 11:24:51    

Faut que je la refasse en plus clair?
Y a-t-il seulement des admins réseau qui utilisent Novell ici? :??:

Reply

Marsh Posté le 09-01-2003 à 12:08:10    

Nico57 a écrit :


J'aimerais savoir quelle est la stratégie de sécurité locale appliquée chez vous:
 

  • "simple" désactivation de tous les services, le PC restant accessible localement sans mot de passe mais plus par le réseau

(est-il vraiment possible de désactiver tous les "services" dangereux dans Win2k/XP? :/) Non car certains sont utile a 1 moment ou un autre
 

  • mise en place d'un mot de passe sur le compte admin local ?

(de préférence différent sur chaque PC, ce qui devient vite ingérable :/)Non même pass admin sur tout les pc si 450postes t'imagine
 

  • suppression de toute trace de compte local sur le PC?

(possible uniquement si l'utilisateur est authentifié dans un domaine NT, et problématique en cas de panne réseau)Non car effectivement si panne
 

  • autre?


 
En particulier dans le cas d'un réseau Novell, qui nécessite une double autentification Windows + Netware sur les clients, comment procédez-vous?
 

  • connexion de l'utilisateur sur le compte admin, sans mot de passe? (moyen :/) ou avec? (ingérable :() Au secours  


  • création d'un compte au nom de l'utilisateur sur chaque poste sur lequel il est susceptible de se connecter? (ingérable :()Non en Novell moi j'ai un pass avec compte commun pour chaque service et le pass et ID windows de chaque personne, c'est ce que j'ai trouvé de + simple


  • couplage avec un domaine NT? (2 fois plus de licences à payer :()Et oui tout est payant si on veux être efficace


Merci de me (/nous) faire profiter de votre expérience. :D


 
Je suis aussi en Novell, NT4.0, w2k serv, alors j'essai de simplifier mais c'est pas simple  :lol:  
 
 :hello:

Reply

Marsh Posté le 09-01-2003 à 12:08:37    

Nico57 a écrit :

Faut que je la refasse en plus clair?
Y a-t-il seulement des admins réseau qui utilisent Novell ici? :??:


 
oui
 
 
 
 
 
 
 
 
 
 
 
nan je rigole
 

Reply

Marsh Posté le 09-01-2003 à 12:34:17    

Je ne connais pas très bien Netware, cependant après une rapide recherche j'ai trouvé sur le site Novell une présentation du client Netware pour WinNT/2k/XP qui indique que le login unique peut être synchronisé.
 
http://www.novell.com/products/cli [...] klook.html
 
En complément, un article qui parle de ce sujet, peut être y trouveras tu des informations pertinentes : http://www.networkcomputing.com/911/911ws1.html


Message édité par Guru le 09-01-2003 à 12:35:28
Reply

Marsh Posté le 09-01-2003 à 12:45:14    


salut  :hello:  
 
regle de base de tout réseau informatique : ne JAMAIS  :non: laisser les utilisateur se connecter avec un compte admin --> bordel assurer  :fou: !!! Tu mets un mot de passe pour le compte admin, qui peut etre le même sur toutes les machines, vu que personne ne doit le connaitre. (à part bien sur le personnel informatique)
En ce qui concerne la double autentification Novell/NT, si je me souviens bien, tu peux cocher une case lors du login Windows pour que ce soit le même utilisateur que Novell.
Comme tu peux choisir si tu te log en local ou sur le réseau à l'écran d'authentification Novell (souvenir...)
 
Ensuite en ce qui concerne l'achat de nouvelles machines, et bien oui, il y a forcemment des parametres à modifier. l'idéal, lorsqu'elles sont nombreuses, est de faire un "master" : une image (avec outil comme Ghost) d'une configuration "standard" que tu appliqueras aux autres machines avant de les mettre sur le réseau.  
Avantage : plus qu'a brancher la machine, tous les parametres étant déja installé (stratégie locale, connexion réseau, etc....) et évite les oublis ou erreur.  
Désavantage : oblige à avoir un parc assez homogéne pour éviter d'avoir à effectuer beaucoup de master (machines différentes --> master différent).
Précision : le chargement d'une image n'a rien à voir niveau temps avec une réinstallation. Et c'est moins lourd que de passer dans chaque bureau pour effectuer les parametres de configuration adéquats.
 
Voilà, j'espère que mon avis te servira  :whistle:  
 
PS : si vous avez besoin d'un admin ou tech réseau je suis preneur : je crise de ne pas avoir de boulot (alors j'essais d'aider les gens :) )

Reply

Marsh Posté le 09-01-2003 à 12:57:30    

bascarol a écrit :

J'aimerais savoir quelle est la stratégie de sécurité locale appliquée chez vous:  
 
 
"simple" désactivation de tous les services, le PC restant accessible localement sans mot de passe mais plus par le réseau  
(est-il vraiment possible de désactiver tous les "services" dangereux dans Win2k/XP? ) Non car certains sont utile a 1 moment ou un autre  
 
en pareil cas il faut faire des groupes d'utilisateurs/machines!
 
 
mise en place d'un mot de passe sur le compte admin local ?  
(de préférence différent sur chaque PC, ce qui devient vite ingérable )Non même pass admin sur tout les pc si 450postes t'imagine  
et pourtant c'est une des bases de la sécurité!
 
suppression de toute trace de compte local sur le PC?  
(possible uniquement si l'utilisateur est authentifié dans un domaine NT, et problématique en cas de panne réseau)Non car effectivement si panne  
les comptes volants ne sont pas très pratiques quand tes utilisateurs ont des besoins de place assez importants, transferts... un admin ne doit pas avoir son réseau par terre, la question est plus celle du transfert des profils et de la gène occasionnée, et celle de la place sur le serveur d'accueil
 
autre?  
 
 
En particulier dans le cas d'un réseau Novell, qui nécessite une double autentification Windows + Netware sur les clients, comment procédez-vous?  
 
 
connexion de l'utilisateur sur le compte admin, sans mot de passe? (moyen ) ou avec? (ingérable  ) Au secours    
 
connexion avec un login/mot de passe qui lui est propre, la durée de vie et l'historique du mot de passe sont à determiner avec les responsables. Jamais d'utilisateur conencté en tant qu'admin!
 
création d'un compte au nom de l'utilisateur sur chaque poste sur lequel il est susceptible de se connecter? (ingérable  )Non en Novell moi j'ai un pass avec compte commun pour chaque service et le pass et ID windows de chaque personne, c'est ce que j'ai trouvé de + simple  
un domaine c'est quand même plus simple :)
 
 
couplage avec un domaine NT? (2 fois plus de licences à payer  )Et oui tout est payant si on veux être efficace  
 
quel est l'interet de novell dans une architecture AD? novell est quand même de plus en plus mis à l'écart au profit de l'AD
 
Merci de me (/nous) faire profiter de votre expérience.    
 
 
 
 

Reply

Marsh Posté le 10-01-2003 à 18:54:44    

krapaud a écrit :


 
un domaine c'est quand même plus simple :)  
 
 


 
 
ben s'est la mon prob en ce qui concerne Novell
 
vois ici
 
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
 
 
Je crois que c'est la soluce mais pas si simple.
 
 
 
 :hello:

Reply

Marsh Posté le 10-01-2003 à 18:58:43    

Oh, plein de réponses! http://forum.hardware.fr/icones/icon10.gif
 
 
Bascarol>
 
(est-il vraiment possible de désactiver tous les "services" dangereux dans Win2k/XP? :/)
Non car certains sont utile a 1 moment ou un autre

Ouais, surtout le service Serveur, la base de tous mes soucis. :/
 
mise en place d'un mot de passe sur le compte admin local ? (de préférence différent sur chaque PC, ce qui devient vite ingérable :/)
Non même pass admin sur tout les pc si 450postes t'imagine

Et le même mot passe sur 450 PC t'imagine?
Le jour ou un con arrive à le casser tu te prends 3 jours pour faire la tournée des popotes? :sarcastic:
 
En gros on est d'accord: la seule solution viable avec du Novell c'est d'avoir une autentification dans un domaine NT en parallèle.
Reste que je m'interroge sur la possibilité de "Win95ifier" un Win2k pour pouvoir oublier complètement la sécurité locale (-> admin sans mot de passe) et se passer d'un domaine NT.
 
 
Guru merci pour tes liens, je vais lire ça attentivement.
 
usurp> Hors sujet, mais merci pour ta contribution.
 
 
krapaud>
 
en pareil cas il faut faire des groupes d'utilisateurs/machines!
Je ne comprends pas ce que tu veux dire. :??:
 
(à propos des mots de passe admin différents sur 450 machines)
et pourtant c'est une des bases de la sécurité!
Je suis bien d'accord!
 
(à propos de la suppression de tout compte local)
les comptes volants ne sont pas très pratiques quand tes utilisateurs ont des besoins de place assez importants, transferts... un admin ne doit pas avoir son réseau par terre, la question est plus celle du transfert des profils et de la gène occasionnée, et celle de la place sur le serveur d'accueil
Tu confonds compte et profil, on peut très bien ne pas avoir de compte local et stocker malgré tout les profils utilisateur en local; c'est d'ailleurs le comportement par défaut.
 
 
Merci à tous pour votre avis.
Je vais lire les liens de Guru. :hello:


Message édité par Nico57 le 10-01-2003 à 19:02:33
Reply

Marsh Posté le 10-01-2003 à 19:12:03    

Krapaud
 
Ouais c'est sur que pour le pass admin ils doivnet pas être les même sur chaques postes, mais mon experience m'a dit le contraire.
 
Pour la sécu on est OK, mais avoir 450 pass dif, la à chaque fois tu te promènes avec ton bottin, donc papiers, donc encore pire qu'un seul pass, attention on parle bien du pass admin local pas réseau.
 
dis moi comment tu retiendra 450 pass dif plus le tiens + les pass admin des serveurs. :D  
 
 

Reply

Marsh Posté le 10-01-2003 à 19:12:03   

Reply

Marsh Posté le 10-01-2003 à 20:36:21    

D'où ma suggestion de le supprimer purement et simplement. :sarcastic:
 
Et en cas de gros problème réseau sur la machine (compte admin du domaine plus accessible), il est toujours possible de casser la SAM avec les outils qui vont bien.
 
 
Enfin pour ceux que ça intéresse, le lien donné par Guru (encore merci :jap:) traite exactement du sujet.
J'y ai appris que le Workstation Manager du client Netware permet de créer/supprimer dynamiquement les comptes NT locaux correspondant au login Novell utilisé (j'suis clair là?)
Y'a plus qu'à potasser un peu et convaincre mon admin Novell :sarcastic: de la nécessité du truc.

Reply

Marsh Posté le 10-01-2003 à 21:07:17    

Tant mieux que cela ai été utile car j'étais un peu allé "à la pèche" :lol:

Reply

Marsh Posté le 10-01-2003 à 21:11:12    

Nico57 a écrit :

D'où ma suggestion de le supprimer purement et simplement. :sarcastic:  
J'avais pas compris comme ça  :(
 
 
Et en cas de gros problème réseau sur la machine (compte admin du domaine plus accessible), il est toujours possible de casser la SAM avec les outils qui vont bien.
outil comme nunux  :D
 
 
Enfin pour ceux que ça intéresse, le lien donné par Guru (encore merci :jap:) traite exactement du sujet.
J'y ai appris que le Workstation Manager du client Netware permet de créer/supprimer dynamiquement les comptes NT locaux correspondant au login Novell utilisé (j'suis clair là?)
Y'a plus qu'à potasser un peu et convaincre mon admin Novell :sarcastic: de la nécessité du truc.
 
J'ai vu aussi, pas mal
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed