Accès à C$ D$ d'une machine NT en administrateur local

Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...

Modérateur: modos Ixus

Messagepar busab » 12 Mars 2003 11:00

bonjour, <BR>je dois sécuriser le réseau local de mon entreprise composé de postes NT4 et j'ai peur devant les failles énormes que laissent cet OS (microsoft appelle ça des fonctionnalités). <BR>Un truc qui me parrait particulièrement dangereux, c'est la possibilité une personne loguée en administrateur local d'acceder aux racines des disques des machines du domaine. <BR>N'importe qui arrivant avec son PC perso se connecte au réseau local et a accès à ... tout! <BR>Comment on fait pour désactiver ça? de sorte qu'il n'y ai plus que les administrateurs de domaine qui y aient accès? <BR>Merci
Avatar de l’utilisateur
busab
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 11 Mars 2003 01:00

Messagepar antolien » 12 Mars 2003 11:28

non, ce que tu dit n'est possible que lorsque le mot de passe de l'administrateur local est le même que celui du domaine. <BR> <BR>s'il est différent, il te demande un user/pass. <BR> <BR>sinon, il faut désactiver les partages administratifs pour ne plus avoir accès à c$
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar busab » 12 Mars 2003 11:37

le mot de passe est heureusement différent, mais je peux me connecter aux racines des disques de tous les postes NT workstation (pas les serveurs, ouf). <BR>pour désactiver les partages administratifs, il suffit d'enlever les partage X$? quelles sont les consequences d'une telle restriction? <BR>PS : si vous avez un lien sur un guide de sécurisation de NT ou d'un réseau NT, je suis preneur
Avatar de l’utilisateur
busab
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 11 Mars 2003 01:00

Messagepar busab » 12 Mars 2003 11:45

ah oui, ça y est, je crois que je vois, le mot de passe admin est le même sur la machine où je me logue en local que sur la machine où j'essaie (j'arrive) à acceder. <BR>Bon, c'est pas gagné la sécurité du réseau...
Avatar de l’utilisateur
busab
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 11 Mars 2003 01:00

Messagepar nemesis » 12 Mars 2003 11:51

laisse moi deviner tu as un "atelier" de maintenance qui installe tte les becanes de ta boîte.. <BR> <BR>et en tte logique le compte admin est le mm sur toutes les becannes.... (ils vont pas se faire $%#&! avec 30/40 mot de passe juste pour installer le systeme et les logiciels...) du coup vu ke tu connais le mot de passe de ta becanne en admin tu es admin local sur tte les machines (elles ont ttes le mm compte admin...) <BR> <BR>je vois pas trop comment bloquer cela ss $%#&! les gens chargé des installes... <BR> <BR>dc le plus sage est qu'il n'y ai ke les gens "habilités" qui connaisse le mot de passe admin local... <BR> <BR>ici à la fac c'est come ça que ça marche ... <BR>a+
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar busab » 12 Mars 2003 12:29

ben non, c'est une petite entreprise avec tous les postes installés à la main. normalement, personne ne connait le mot de passe mais tu connais les habitudes de choix de mot de passe en entreprise, ya pas vraiement de difficultée à le trouver (perso, qd j'en ai eu besoin je suis tombé dessus en moins de 5 essais). <BR>Donc je crois qu'il va faloir le changer et mettre qqch de _vraiement_ plus compliqué. Après, ya trois possibilités, <BR>-mettre qqch de différent à chaque fois, sans aucun lien <BR>-mettre qqch de différent à chaque fois, mais qui obeit à une regle à partir du numéro de poste par exemple <BR>-mettre un mot de passe commun <BR> <BR>je pencherai plutot pour la seconde solution, un compromi entre un seul mot de passe et une liste qu'on est obligé de se trimbaler tout le temps.
Avatar de l’utilisateur
busab
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 11 Mars 2003 01:00

Messagepar nemesis » 12 Mars 2003 12:44

mouai lol ça me rappelle un truc du genre user : root pass :root lol... <BR> <BR> <BR>bha l'avantage de la liste (un cahier c'est mieux...) c'est que suel la personne qui doit y avoir accés y a acces... enfin faut pas non plus le laisser trainer nimporte ou avec Mot De Passe ecrit dessus lol.. <BR> <BR>mais le truc $%#&! c qu'a chaque fois que tu en as besoin il te faut ta liste et si il faut entrer le mot de pass a chaque fois c $%#&!... d'ou le technique laxiste decrite en deb de message..
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar remi » 12 Mars 2003 12:50

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 10:28, antolien a écrit: <BR>non, ce que tu dit n'est possible que lorsque le mot de passe de l'administrateur local est le même que celui du domaine. <BR> <BR>s'il est différent, il te demande un user/pass. <BR> <BR>sinon, il faut désactiver les partages administratifs pour ne plus avoir accès à c$ <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Sous NT4, le partage administratif c$ ne peut etre désactivé. si tu le désactive il se réactivera au prochain démarrage...et étant donné qu'un serveur NT doit etre redemarré fréquement ...
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar antolien » 12 Mars 2003 12:56

<!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=66" target="_blank">http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=66</a><!-- BBCode auto-link end --> <BR> <BR>il n'y a pas la même clef sous NT4 ? <BR> <BR>il doit bien y avoir une astuce.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar busab » 12 Mars 2003 13:03

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 11:50, arsenic a écrit: <BR>Sous NT4, le partage administratif c$ ne peut etre désactivé. si tu le désactive il se réactivera au prochain démarrage...et étant donné qu'un serveur NT doit etre redemarré fréquement ... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>c'est bien ce qu'il m'avais semblé... domage <IMG SRC="images/smiles/icon_frown.gif"> <BR>c'est pas encore gagné pour le réseau sécurisé...
Avatar de l’utilisateur
busab
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 11 Mars 2003 01:00

Messagepar antolien » 12 Mars 2003 13:09

regardes sur le liens que je viens de mettre, ça doit marcher sous NT4 <BR> <BR>regedit -> <BR> <BR>HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparameters <BR> <BR>Pour les Stations de travail : <BR> <BR>Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareWks puis mettez "0" dans le champs Données de la Valeur <BR> <BR> <BR>Pour les Serveurs : <BR> <BR>Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareServer puis mettez "0" dans le champs Données de la Valeur <BR> <BR> <BR>Et reboot <BR> <BR>
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar remi » 12 Mars 2003 14:44

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 12:03, busab a écrit: <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-12 11:50, arsenic a écrit: <BR>Sous NT4, le partage administratif c$ ne peut etre désactivé. si tu le désactive il se réactivera au prochain démarrage...et étant donné qu'un serveur NT doit etre redemarré fréquement ... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>c'est bien ce qu'il m'avais semblé... domage <IMG SRC="images/smiles/icon_frown.gif"> <BR>c'est pas encore gagné pour le réseau sécurisé... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Il y a une astuce assez efficace...pour la sécurité... <BR> <BR>Créer un compte administrateur pour un utilisateur lambda... <BR> <BR>Réduire les droits d'accès au minimum du compte administrateur. Lors de hack c le compte administrateur qui est visé... si au final c un compte utilisateur comme un autre... le pirate l'as dans l'os.
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar remi » 12 Mars 2003 14:48

voici un site ou tu pourras trouvez deux trois docs interressantes... <BR> <BR><!-- BBCode auto-link start --><a href="http://www.securent-2000.com/" target="_blank">http://www.securent-2000.com/</a><!-- BBCode auto-link end -->
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar busab » 12 Mars 2003 15:44

>antolien : <BR>merci, ça marche! <IMG SRC="images/smiles/icon_smile.gif"> <BR>apparement, j'ai un peu plus de mal à obtenir la liste des postes du réseau (bizare) mais c'est pas génant. <BR>>arsenic : <BR>merci pour le lien et le conseil sur le compte administrateur. j'avais lu qu'un des dificulté pour hacker un windows NT par raport à linux était de trouver le compte administrateur! <BR>
Avatar de l’utilisateur
busab
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 11 Mars 2003 01:00

Messagepar DgSe95 » 29 Mars 2003 23:44

ou sinon il est possible de créer un faux administrateur avec des droit d'utilisateur de base. pour les partages administratif, la clé donnée est aussi valable pour les station de travail, mais il y a quelque chose à changer. <BR> <BR>ne pas oublier non plus les connexions nulles : <BR> <BR>elles n'ont pas besoin de mot de passe pour y acceder. ex : <BR> <BR>net use ip_de_la_machineipc$ "" /user:"" et le tours est jouer. il existe aujourd'hui pas mal de soft qui utilise cet exploi. <BR> <BR>dans mon prochain post je donnerais la solution pour empecher ça, mais là pour l'instant je ne l'ai plus en tête. <BR> <BR>pour les mots de passes, il faudrait qu'ils aient une taille minimum de 7 caractères, et qu'ils soient composés (si possible) de caractères alphanumérique et non alphanumérique, ainsi que des chiffres intercalés entre les lettres. je sais c'est pas facile à retenir ce genre de mot de passe, mais il faut bien que cela soit difficile à casser ! ;o)
DgSe95 est de retour :)
Avatar de l’utilisateur
DgSe95
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 03 Mars 2003 01:00
Localisation: Genève, Suisse

Suivant

Retour vers Logiciels Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)