Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
804 connectés 

  FORUM HardWare.fr
  Windows & Software

  Domain Win2K3 : gros trou de sécu et pb ntbackup

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Domain Win2K3 : gros trou de sécu et pb ntbackup

n°2146071
Slyde
Lizard of the Coast
Posté le 03-09-2005 à 09:32:33  profilanswer
 

Bonjour,
 
J'ai deux problèmes bêtes avec un 2K3 SBS.
 
- Une machine dispose d'un compte toto local avec un mot de passe, membre de administrateur. Sur le serveur et donc le domaine, le même compte avec le même pass, avec des droits d'utilisateur. Souci, quand l'utilisateur se loggue sur la session locale sur son poste, il a les droits d'admin sur le domaine et peut donc acceder à des partages privés sur lesquels le groupe administrateurs.mondomaine ou le compte admin.mondomaine possèdent des droits. Si j'enlève les droits du compte admin.mondomaine, je me fais effectivement jeter.
 
Faut-il, à la base, empecher les utilisateurs de faire des sessions locales de ce genre, ou puis-je virer les droits admin sur la sécurité des partages sans souci avec NTbackup ou d'autres services windows ?
 
 
- La sauvegarde ntbackup configurée via la gestion de serveur cherche à utiliser un média MiniQIC et non Travan, du coup, erreur systématique de media non monté. Puis-je modifier un script ou la tache quelque part ou dois-je créer une tache planifiée manuellement pour spécifier dans la ligne de commande le bon media ?
 
Merci.


Message édité par Slyde le 05-09-2005 à 00:37:06

---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
mood
Publicité
Posté le 03-09-2005 à 09:32:33  profilanswer
 

n°2146589
Slyde
Lizard of the Coast
Posté le 03-09-2005 à 20:44:43  profilanswer
 

4 vues [:w3c compliant]


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°2146884
Slyde
Lizard of the Coast
Posté le 04-09-2005 à 13:42:53  profilanswer
 

:/


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°2146896
Jef34
Je ferai mieux demain
Posté le 04-09-2005 à 13:50:38  profilanswer
 

Pourquoi tes users ont des comptes d'admin du domaine ?
Change leur droit dans la console d'AD et ton problème sera résolu.
 
S'il faut qu'ils soient admin sur leur machine ajoute les en admin locaux ou ajoute le groupe INTERACTIVE en admin local

n°2147560
Slyde
Lizard of the Coast
Posté le 05-09-2005 à 00:35:10  profilanswer
 

Jef34 a écrit :

Pourquoi tes users ont des comptes d'admin du domaine ?
Change leur droit dans la console d'AD et ton problème sera résolu.
 
Erm, comme indiqué ils ne font pas parti du groupe admin sur le domaine. C'est leur compte, de nom identique, en local sur leur machine qui a les droits d'admin. Et c'est en se loggant en local sur cette session qu'ils peuvent acceder à tous les partages sur le domaine.
 
S'il faut qu'ils soient admin sur leur machine ajoute les en admin locaux ou ajoute le groupe INTERACTIVE en admin local
 
A priori pas besoin, en + c'est la base de mon problème [:tinostar]


 


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°2147603
Jef34
Je ferai mieux demain
Posté le 05-09-2005 à 06:49:49  profilanswer
 

Donc tu veux dire que sur le controlleur de domaine, il existe un compte Admin qui a le meme nom et le meme mot de pass que le compte local admin sur les workstations de ton réseau. c'est ca ?

n°2147758
Slyde
Lizard of the Coast
Posté le 05-09-2005 à 11:40:05  profilanswer
 

Non :/
 
prennons le cas d'une session toto avec un mot de passe soleil
 
Sur un poste sur le réseau, il existe en LOCAL une session toto/soleil. Elle a les droits d'admin local.
 
Sur l'AD, il existe une session toto/soleil, membre des users, pas des administrateurs de ce domaine.
 
Si l'utilisateur se loggue sur le domaine avec son compte toto, les droits sont utilisés correctement.
 
Si l'utilisateur se loggue en local avec son compte toto, qui je le repête, est un compte d'admin LOCAL, il a accès à tous les partages du domaine qui sont cconfigurés pour n'être accessibles qu'aux administrateurs DU DOMAINE ! [:le kneu]


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°2147768
Jef34
Je ferai mieux demain
Posté le 05-09-2005 à 11:53:10  profilanswer
 

Donc dans AD un compte
DOMAIN\toto avec son password, membre de Users
 
Un ordinateur WORKSTATION1 du domaine DOMAIN
Il se logue dessus.
Tout ce passe bien.
 
Maintenant ton user se logue en local (tu entends bien par là un compte local donc pas du domaine)
WORKSTATION1\tata
 
Et il se trouve alors que ce user WORKSTATION\tata a le droit d'accéder à des partages d'admin.
 
J'ai bien compris ?

n°2147800
Slyde
Lizard of the Coast
Posté le 05-09-2005 à 12:13:34  profilanswer
 

oui, sauf que tata s'appelle toto, le compte local admin et le compte user sur le domaine ont le même nom et pass, et à priori c'est ça qui gène.
 
Je pourrais leur virer ces comptes locaux de force, c'est une solution, mais j'aimerais bien comprendre la 'logique' qui autorise l'accès d'un admin d'une machine locale à des partages accessibles uniquement à des admins du domaine. Parce que si je vire le groupe admin de l'ACL, je me fais bien jeter.


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°2147811
zupstyle
Posté le 05-09-2005 à 12:18:09  profilanswer
 

Faudrait voir comment ta mis en place tes groupes O_o

mood
Publicité
Posté le 05-09-2005 à 12:18:09  profilanswer
 

n°2147826
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 05-09-2005 à 12:27:00  profilanswer
 

t'es sur que t'as bien mis le groupe "admins du domaine" et pas le groupe "administrateurs" sur tes partages ?

n°2147831
Jef34
Je ferai mieux demain
Posté le 05-09-2005 à 12:29:00  profilanswer
 

Et bien effectivement le problème est connu.
 
Si tu utilises un compte local  
User : toto
Password : toto
 
Un compte AD
User : toto
Password : toto
 
Ben le user local pourra accéder à des ressources AD.
 
Il faut éviter cette similitude.

n°2147833
sennastien
Driven to perfection
Posté le 05-09-2005 à 12:29:57  profilanswer
 

oui ca me parait louche, le compte AD/toto n'ayant clairement pas le meme SID que le compte admin local Worstation1/toto


Message édité par sennastien le 05-09-2005 à 12:30:17

---------------
ビブリボン | Memoro de la Stono | まかんこうさっぽう

n°2147834
sennastien
Driven to perfection
Posté le 05-09-2005 à 12:30:35  profilanswer
 

Jef34 a écrit :

Et bien effectivement le problème est connu.
 
Si tu utilises un compte local  
User : toto
Password : toto
 
Un compte AD
User : toto
Password : toto
 
Ben le user local pourra accéder à des ressources AD.
 
Il faut éviter cette similitude.


:heink:  :ouch:


---------------
ビブリボン | Memoro de la Stono | まかんこうさっぽう

n°2147836
zupstyle
Posté le 05-09-2005 à 12:30:57  profilanswer
 

t'es sur jef?

n°2147840
zupstyle
Posté le 05-09-2005 à 12:32:30  profilanswer
 

les autorisations se base sur les SID, donc jvois pas comment y'aurai de pb O_o
en même temps je ne procède jamais ainsi*

n°2147848
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 05-09-2005 à 12:35:40  profilanswer
 

Jef34 a écrit :

Et bien effectivement le problème est connu.
 
Si tu utilises un compte local  
User : toto
Password : toto
 
Un compte AD
User : toto
Password : toto
 
Ben le user local pourra accéder à des ressources AD.
 
Il faut éviter cette similitude.


 
Oui mais au niveau du domaine il devrait avoir les droits du compte toto en question, qui est simple user, et la a priori il a les droits admins.

n°2147852
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 05-09-2005 à 12:38:11  profilanswer
 

zupstyle a écrit :

les autorisations se base sur les SID, donc jvois pas comment y'aurai de pb O_o
en même temps je ne procède jamais ainsi*


 
C'est plus compliqué que ça : quand t'es pas loggué avec un compte du domaine (ou sur une machine hors-domaine) et que tu veux te connecter a par exemple des partages sur un serveur, de maniere transparente pour l'utilisateur le serveur demande une authentification a la machine cliente, qui par défaut va renvoyer les login/mdp de la session en cours, et si ils correspondent a un utilisateur du domaine, ben t'auras acces au choses pour lesquels cet utilisateur a des droits sans rien avoir a faire de plus.

n°2147853
zupstyle
Posté le 05-09-2005 à 12:40:51  profilanswer
 

yep pollo mais ce que je capte pas c'est qu'il ait des droits d'admin alors que sur le domaine il est simple user O_o

n°2147869
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 05-09-2005 à 12:48:08  profilanswer
 

Ca par contre c'est pas normal effectivement.

n°2147889
Slyde
Lizard of the Coast
Posté le 05-09-2005 à 13:07:49  profilanswer
 

zupstyle a écrit :

t'es sur jef?


 
Ah ben je confirme que ça marche et que c'est emmerdant [:slyde]  
 
J'ai du tester avec le groupe de sécu 'admins du domaine' et 'administrateurs', c'est pareil ça passe avec les deux.


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°2147894
Slyde
Lizard of the Coast
Posté le 05-09-2005 à 13:09:27  profilanswer
 

et pour mon supair NTbackup qui me colle un miniQIC au lieu du Travan, je fais la tache à la main via les taches planifiées ?


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°2147964
Jef34
Je ferai mieux demain
Posté le 05-09-2005 à 14:00:27  profilanswer
 

Effectivement, comme dit plus haut. C'est normal que le user ait accès.
 
Par contre les droits d'admin.. strange.
 
Tu peux nous filer les ACL sur les partages en question ?
 
Démarrer, exécuter, cacls nomdurépertoire
 
Vérifie les autorisations de partages.

n°2148088
Slyde
Lizard of the Coast
Posté le 05-09-2005 à 15:59:17  profilanswer
 

Je zieutterais quand je passerais sur le serveur dans la semaine.
 
De mémoire, l'utilisateur, SYSTEM, administrateurs, CREATEUR PROPRIETAIRE.


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  Domain Win2K3 : gros trou de sécu et pb ntbackup

 

Sujets relatifs
gros probleme!!!!Gros Caractère dans Internet Explorer
Gros problème ! origine inconnue !!!Gros problème de DD
Gros problème de Trojan "hclean32.exe" - Comment le supprimer ?ntbackup sous win2K3
win98 en domaine win2K3GPO sur 2003 serveur + secu clien XP pro
gros probleme. ecran bleu. kernel data .... 
Plus de sujets relatifs à : Domain Win2K3 : gros trou de sécu et pb ntbackup


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR