Accès à C$ D$ d'une machine NT en administrateur local

[busab]

bonjour, <BR>je dois sécuriser le réseau local de mon entreprise composé de postes NT4 et j'ai peur devant les failles énormes que laissent cet OS (microsoft appelle ça des fonctionnalités). <BR>Un truc qui me parrait particulièrement dangereux, c'est la possibilité une personne loguée en administrateur local d'acceder aux racines des disques des machines du domaine. <BR>N'importe qui arrivant avec son PC perso se connecte au réseau local et a accès à ... tout! <BR>Comment on fait pour désactiver ça? de sorte qu'il n'y ai plus que les administrateurs de domaine qui y aient accès? <BR>Merci

[antolien]

non, ce que tu dit n'est possible que lorsque le mot de passe de l'administrateur local est le même que celui du domaine. <BR> <BR>s'il est différent, il te demande un user/pass. <BR> <BR>sinon, il faut désactiver les partages administratifs pour ne plus avoir accès à c$

[busab]

le mot de passe est heureusement différent, mais je peux me connecter aux racines des disques de tous les postes NT workstation (pas les serveurs, ouf). <BR>pour désactiver les partages administratifs, il suffit d'enlever les partage X$? quelles sont les consequences d'une telle restriction? <BR>PS : si vous avez un lien sur un guide de sécurisation de NT ou d'un réseau NT, je suis preneur

[busab]

ah oui, ça y est, je crois que je vois, le mot de passe admin est le même sur la machine où je me logue en local que sur la machine où j'essaie (j'arrive) à acceder. <BR>Bon, c'est pas gagné la sécurité du réseau...

[nemesis]

laisse moi deviner tu as un "atelier" de maintenance qui installe tte les becanes de ta boîte.. <BR> <BR>et en tte logique le compte admin est le mm sur toutes les becannes.... (ils vont pas se faire $%#&! avec 30/40 mot de passe juste pour installer le systeme et les logiciels...) du coup vu ke tu connais le mot de passe de ta becanne en admin tu es admin local sur tte les machines (elles ont ttes le mm compte admin...) <BR> <BR>je vois pas trop comment bloquer cela ss $%#&! les gens chargé des installes... <BR> <BR>dc le plus sage est qu'il n'y ai ke les gens "habilités" qui connaisse le mot de passe admin local... <BR> <BR>ici à la fac c'est come ça que ça marche ... <BR>a+

[busab]

ben non, c'est une petite entreprise avec tous les postes installés à la main. normalement, personne ne connait le mot de passe mais tu connais les habitudes de choix de mot de passe en entreprise, ya pas vraiement de difficultée à le trouver (perso, qd j'en ai eu besoin je suis tombé dessus en moins de 5 essais). <BR>Donc je crois qu'il va faloir le changer et mettre qqch de _vraiement_ plus compliqué. Après, ya trois possibilités, <BR>-mettre qqch de différent à chaque fois, sans aucun lien <BR>-mettre qqch de différent à chaque fois, mais qui obeit à une regle à partir du numéro de poste par exemple <BR>-mettre un mot de passe commun <BR> <BR>je pencherai plutot pour la seconde solution, un compromi entre un seul mot de passe et une liste qu'on est obligé de se trimbaler tout le temps.

[nemesis]

mouai lol ça me rappelle un truc du genre user : root pass :root lol... <BR> <BR> <BR>bha l'avantage de la liste (un cahier c'est mieux...) c'est que suel la personne qui doit y avoir accés y a acces... enfin faut pas non plus le laisser trainer nimporte ou avec Mot De Passe ecrit dessus lol.. <BR> <BR>mais le truc $%#&! c qu'a chaque fois que tu en as besoin il te faut ta liste et si il faut entrer le mot de pass a chaque fois c $%#&!... d'ou le technique laxiste decrite en deb de message..

[remi]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 10:28, antolien a écrit: <BR>non, ce que tu dit n'est possible que lorsque le mot de passe de l'administrateur local est le même que celui du domaine. <BR> <BR>s'il est différent, il te demande un user/pass. <BR> <BR>sinon, il faut désactiver les partages administratifs pour ne plus avoir accès à c$ <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Sous NT4, le partage administratif c$ ne peut etre désactivé. si tu le désactive il se réactivera au prochain démarrage...et étant donné qu'un serveur NT doit etre redemarré fréquement ...

[antolien]

<!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=66" target="_blank">http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=66</a><!-- BBCode auto-link end --> <BR> <BR>il n'y a pas la même clef sous NT4 ? <BR> <BR>il doit bien y avoir une astuce.

[busab]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 11:50, arsenic a écrit: <BR>Sous NT4, le partage administratif c$ ne peut etre désactivé. si tu le désactive il se réactivera au prochain démarrage...et étant donné qu'un serveur NT doit etre redemarré fréquement ... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>c'est bien ce qu'il m'avais semblé... domage <IMG SRC="images/smiles/icon_frown.gif"> <BR>c'est pas encore gagné pour le réseau sécurisé...

[antolien]

regardes sur le liens que je viens de mettre, ça doit marcher sous NT4 <BR> <BR>regedit -> <BR> <BR>HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparameters <BR> <BR>Pour les Stations de travail : <BR> <BR>Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareWks puis mettez "0" dans le champs Données de la Valeur <BR> <BR> <BR>Pour les Serveurs : <BR> <BR>Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareServer puis mettez "0" dans le champs Données de la Valeur <BR> <BR> <BR>Et reboot <BR> <BR>

[remi]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 12:03, busab a écrit: <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 11:50, arsenic a écrit: <BR>Sous NT4, le partage administratif c$ ne peut etre désactivé. si tu le désactive il se réactivera au prochain démarrage...et étant donné qu'un serveur NT doit etre redemarré fréquement ... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>c'est bien ce qu'il m'avais semblé... domage <IMG SRC="images/smiles/icon_frown.gif"> <BR>c'est pas encore gagné pour le réseau sécurisé... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Il y a une astuce assez efficace...pour la sécurité... <BR> <BR>Créer un compte administrateur pour un utilisateur lambda... <BR> <BR>Réduire les droits d'accès au minimum du compte administrateur. Lors de hack c le compte administrateur qui est visé... si au final c un compte utilisateur comme un autre... le pirate l'as dans l'os.

[remi]

voici un site ou tu pourras trouvez deux trois docs interressantes... <BR> <BR><!-- BBCode auto-link start --><a href="http://www.securent-2000.com/" target="_blank">http://www.securent-2000.com/</a><!-- BBCode auto-link end -->

[busab]

>antolien : <BR>merci, ça marche! <IMG SRC="images/smiles/icon_smile.gif"> <BR>apparement, j'ai un peu plus de mal à obtenir la liste des postes du réseau (bizare) mais c'est pas génant. <BR>>arsenic : <BR>merci pour le lien et le conseil sur le compte administrateur. j'avais lu qu'un des dificulté pour hacker un windows NT par raport à linux était de trouver le compte administrateur! <BR>

[DgSe95]

ou sinon il est possible de créer un faux administrateur avec des droit d'utilisateur de base. pour les partages administratif, la clé donnée est aussi valable pour les station de travail, mais il y a quelque chose à changer. <BR> <BR>ne pas oublier non plus les connexions nulles : <BR> <BR>elles n'ont pas besoin de mot de passe pour y acceder. ex : <BR> <BR>net use ip_de_la_machineipc$ "" /user:"" et le tours est jouer. il existe aujourd'hui pas mal de soft qui utilise cet exploi. <BR> <BR>dans mon prochain post je donnerais la solution pour empecher ça, mais là pour l'instant je ne l'ai plus en tête. <BR> <BR>pour les mots de passes, il faudrait qu'ils aient une taille minimum de 7 caractères, et qu'ils soient composés (si possible) de caractères alphanumérique et non alphanumérique, ainsi que des chiffres intercalés entre les lettres. je sais c'est pas facile à retenir ce genre de mot de passe, mais il faut bien que cela soit difficile à casser ! ;o)