sécurisation win2000 (nouvelle question: voir fin)

sécurisation win2000 (nouvelle question: voir fin) - Sécurité - Windows & Software

Marsh Posté le 02-09-2004 à 13:49:57    

Salut,
 
Je souhaite procéder à l'installation complètement sécurisée de windows2000pro (avant toute connexion à internet).
 
Pour cela je dispose du w2000pro SP4et je me suis procuré les patchs (post SP4) sur le site microsoft technet:
http://www.microsoft.com/technet/s [...] entDL.aspx
 
les voici:  
KB839645
KB840315
KB841873
KB841872
KB842526
KB839643
KB837001
KB828741
KB835732
KB830352
KB828749
KB825119
KB828035
KB826232
KB823182
824105 (MS03-034)
823559 (MS03-023)
 
Après avoir installé tout cela, je suis allé vérifier sur le "Windows update" en ligne, si tout était ok:
http://v4.windowsupdate.microsoft.com/fr/default.asp
 
Or ce dernier trouve encore des mises jours critiques manquantes sur mon système!!!!
 
Les voici:
MS IE6 SP1 (pas de numéro de patch)
KB867801
KB828026
KB870669
KB823353
KB832483
813093 (Virtual Machine)
814078 (MS Script 5.1)
 
Pourquoi Technet ne m'a pas listé ces patchs ci????!
 
D'avance merci


Message édité par namerh le 14-12-2004 à 21:04:59
Reply

Marsh Posté le 02-09-2004 à 13:49:57   

Reply

Marsh Posté le 02-09-2004 à 13:53:03    

Les outils que tu utilises, bien que tout deux de Microsoft ne vont pas piocher dnasl a même base de référence. Il est fréquent d'avoir des disparités entre Windowsupdate et MBSA.

Reply

Marsh Posté le 02-09-2004 à 13:56:44    

Installe quand meme un firewall !!! :)

Reply

Marsh Posté le 02-09-2004 à 15:39:43    

Requin a écrit :

Les outils que tu utilises, bien que tout deux de Microsoft ne vont pas piocher dnasl a même base de référence. Il est fréquent d'avoir des disparités entre Windowsupdate et MBSA.


 
Dans ce cas il est impossible de sécuriser totalement windows avant de se connecter au net puisqu'il faut pour cela faire le win update en ligne!  
--> c'est aberrant! non?

Reply

Marsh Posté le 02-09-2004 à 15:46:26    

namerh a écrit :

Dans ce cas il est impossible de sécuriser totalement windows avant de se connecter au net puisqu'il faut pour cela faire le win update en ligne!  
--> c'est aberrant! non?


firewall !!!!
+ antivirus et ne jamais ouvir de pieces jointes aux mails douteuses :)
 
Il doit me manquer 200 patchs et je n ai aucun virus [:xice007]

Reply

Marsh Posté le 02-09-2004 à 15:49:21    

en attendant, sur xp on a un sp2 mais sur 2000 pas de sp5


---------------
A vendre
Reply

Marsh Posté le 02-09-2004 à 15:53:19    

trop tot , faut 2ans entre 2 SP , le SP4 est sorti en juillet 2003 :D
 
pi ils vont d ici pas longtemps arreter le support de windows 2000 et tout miser sur windows xp :pfff:

Reply

Marsh Posté le 02-09-2004 à 15:55:27    

je ne crois pas non, tu sais que plus de la moitié des entreprises sont encore sous nt4 et 2000 pour les serveurs ? microsoft ne pourra pas imposer xp


---------------
A vendre
Reply

Marsh Posté le 04-10-2004 à 16:16:02    

la disquette linux pour le password admin de windows:

franck75 a écrit :

c est une technique pour pouvoir ouvrir une session sous win 2000 , meme si on a oublié son mot de passe , et le logiciel tourne sur une base linux


 
Bigre! et il n'existe aucun moyen de paramétrer w2000 de telle sorte qu'on puisse empecher l'accès via cette disquette?


Message édité par namerh le 04-10-2004 à 16:41:58
Reply

Marsh Posté le 04-10-2004 à 16:39:08    

namerh a écrit :

la disquette linux pour le password admin de windows:
 
 
Bigre! et il n'existe aucun moyen de paramétrer w2000 de telle sorte qu'on puisse empecher l'accès via cette disquette?


 
Empêcher l'accès physique au pc ;)


---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?
Reply

Marsh Posté le 04-10-2004 à 16:39:08   

Reply

Marsh Posté le 04-10-2004 à 16:45:04    

Et si l'on paramètre w2000 pour que d'une part:
 
- ce dernier requiert CTRL+ALT+DEL pour ouvrir la boite de login?
 
d'autre part:
 
- en ne faisant pas afficher le dernier utilisateur qui s'est loggué?
 
--> l'accès par cette disquette est il toujours possible???

Reply

Marsh Posté le 04-10-2004 à 16:51:36    

Ne fais pas une fixation sur la disquette, y a des millions de facons de rentrer dans les données d un PC :D

Reply

Marsh Posté le 04-10-2004 à 16:54:59    

certes mais ça ne répond pas à la question qui précède..
 
pour l'instant en l'état actuel de mes connaissances, c'est cette façon qui m'intéresse! (autant qu'elle m'interpelle!)


Message édité par namerh le 04-10-2004 à 16:55:40
Reply

Marsh Posté le 04-10-2004 à 17:08:16    

Tu met un mot de passe dans le bios et tu le configure de façon a ce qu'on ne puisse pas booter sur une disquette!

Reply

Marsh Posté le 04-10-2004 à 21:31:18    

gegebast a écrit :

Tu met un mot de passe dans le bios et tu le configure de façon a ce qu'on ne puisse pas booter sur une disquette!


 
+1
 
Moi j'ai une question autre :
 
Est-ce que le fais qu'une sessions soit ouverte (protégée par un password bien sur) diminue la sécurité sur un serveur ?


---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?
Reply

Marsh Posté le 04-10-2004 à 21:47:05    

Citation :

Est-ce que le fais qu'une sessions soit ouverte (protégée par un password bien sur) diminue la sécurité sur un serveur ?


Bien sur
Ne jamais laisser tourner de session active sur un serveur.
A la limite une session qui n'a pas de droit spéciaux

Reply

Marsh Posté le 04-10-2004 à 21:56:27    

Tu arrives à me dire un peu plus en détails pourquoi ?
 
edit : (en prenant l'exemple d'une session type "utilisateur" ) et est-ce que le fait de vérouiller la session change qqch ?


Message édité par greeeg le 04-10-2004 à 22:04:52

---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?
Reply

Marsh Posté le 04-10-2004 à 22:28:18    

up


---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?
Reply

Marsh Posté le 04-10-2004 à 22:49:04    

franck75 a écrit :

trop tot , faut 2ans entre 2 SP , le SP4 est sorti en juillet 2003 :D
 
pi ils vont d ici pas longtemps arreter le support de windows 2000 et tout miser sur windows xp :pfff:


 
Sachant que le support de NT4 arrive tout juste a sa fin, je pense que celui de 2000 a encore quelques années devant lui  :sarcastic:

Reply

Marsh Posté le 04-10-2004 à 22:50:35    

greeeg a écrit :

Tu arrives à me dire un peu plus en détails pourquoi ?


 
Suffit que quelqu'un arrive a lancer quoi que ce soit dans la session, et il le fait avec les droits d'admin.
 

Citation :

edit : (en prenant l'exemple d'une session type "utilisateur" ) et est-ce que le fait de vérouiller la session change qqch ?


 
Tu as des simples users qui ont le droit de se logguer sur tes serveurs toi ?  [:w3c compliant]

Reply

Marsh Posté le 04-10-2004 à 23:05:42    

El Pollo Diablo a écrit :


Tu as des simples users qui ont le droit de se logguer sur tes serveurs toi ?  [:w3c compliant]


 
Nan mais g une session pr un programme de récupération de données météo qui ne peut pas tourner en tant que service  :cry:


---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?
Reply

Marsh Posté le 05-10-2004 à 01:05:30    

bon j'en reviens à cette fameuse diskette linux qui permet de récup le login + password de session sous W2000:
 
j'ai configuré mon OS de telle sorte que pour se logger il faut faire ctrl +alt + del   et de plus aucun login n'apparait mais pas le dernier connecté..  alors si vraiment meme ainsi ça suffit pas, j'aimerais le voir de mes propres yeux.. où puis je trouver ce prog svp?
 
j'avoue avoir du mal à y croire, ça me parait tout de meme énorme qu'un OS soit disant sécurisé soit à ce point une passoire!

Reply

Marsh Posté le 05-10-2004 à 01:14:42    

avec ces précautions, la disquette arrivera à entrer ds le système.
Mais bien sur, il faut que la personne qui veuille entrer sur ton pc, soit présente ds la même pièce que ton pc. Alors elle peut tout aussi prendre le disque dur et le dire sur un autre pc et ainsi en extraitre les données.
 
Alors si tu n'as pas confiance en les personnes qui ont accès physiquement à ton pc (membres de la famille ?), achètes une armoire que tu puisses fermer à clefs et mets ton pc dedans !


Message édité par greeeg le 05-10-2004 à 01:15:32

---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?
Reply

Marsh Posté le 05-10-2004 à 16:59:08    

greeeg a écrit :

avec ces précautions, la disquette arrivera à entrer ds le système.
Mais bien sur, il faut que la personne qui veuille entrer sur ton pc, soit présente ds la même pièce que ton pc. Alors elle peut tout aussi prendre le disque dur et le dire sur un autre pc et ainsi en extraitre les données.
Alors si tu n'as pas confiance en les personnes qui ont accès physiquement à ton pc (membres de la famille ?), achètes une armoire que tu puisses fermer à clefs et mets ton pc dedans !


 
tu as vu juste pour "membre de la famille" ;)
 
mais une question: pour utiliser cette disquette je suppose qu'il faut que le PC boote dessus n'est ce pas?
 
donc si j'opte pour:
- un pc cadenacé
- pas de boot sur CD ou disquette
- password bios
 
étant donné que je n'envisage pas le cas où l'on me vole mon PC pour l'éventrer, cette fois y a plus de pb de sécurité concernant l'accès à mes données en local sous w2000, si?


Message édité par namerh le 05-10-2004 à 17:00:05
Reply

Marsh Posté le 05-10-2004 à 17:03:59    

ouverture du PC, clear CMOS = plus de password bios.
 
 
 
 
 
 
 
 
 
 
 [:len22]

Reply

Marsh Posté le 05-10-2004 à 17:13:13    

Si tu est en reseau et que tu n'a pas configuré un minimum la securité avec un mdp bidon c tres facile a cracker avec des logicielle comme the reaper ou LC4.
Sinon c'est evident que si on peut acceder physiquement a ton pc on arrivera toujours a lire les données dessus et ca n'est pas propre a windows, la seule facon de ce proteger a ce niveau c'est de crypter les données efficacement.

Reply

Marsh Posté le 05-10-2004 à 17:14:19    

Au fait la fameuse disquette linux ne permet pas d'obtenir le password, elle permet de le changer c'est un peu different.

Reply

Marsh Posté le 07-10-2004 à 20:36:09    

knives a écrit :

Si tu est en reseau et que tu n'a pas configuré un minimum la securité avec un mdp bidon c tres facile a cracker avec des logicielle comme the reaper ou LC4.
Sinon c'est evident que si on peut acceder physiquement a ton pc on arrivera toujours a lire les données dessus et ca n'est pas propre a windows, la seule facon de ce proteger a ce niveau c'est de crypter les données efficacement.


 
mdp = ?
 
c'est quoi selon toi "configuré un minimum" stp?
autrement dit: que dois je configurer pour empecher le crackage dont tu parles?
 

Reply

Marsh Posté le 07-10-2004 à 23:14:44    

knives a écrit :

Au fait la fameuse disquette linux ne permet pas d'obtenir le password, elle permet de le changer c'est un peu different.


 
Et ca ne marche pas pour les comptes AD.

Reply

Marsh Posté le 07-10-2004 à 23:18:05    


 
Mot de passe
 

Citation :


c'est quoi selon toi "configuré un minimum" stp?
autrement dit: que dois je configurer pour empecher le crackage dont tu parles?


 
Au minimum 7 caractères par mot de passe, mélange de lettres (majuscules et minuscules), chiffres et caratères non-alphanumérique, et que bien sur ca ne corresponde a rien de connu qui pourrait etre dans un dictionnaire de mots de passes courant.
Faut aussi activer la désactivation automatique du compte s'il y a trop de tentatives de connexion avec un mauvais mot de passe dans un laps de temps réduit.

Reply

Marsh Posté le 15-10-2004 à 01:29:47    

knives a écrit :

Si tu est en reseau et que tu n'a pas configuré un minimum la securité avec un mdp bidon c tres facile a cracker avec des logicielle comme the reaper ou LC4.
Sinon c'est evident que si on peut acceder physiquement a ton pc on arrivera toujours a lire les données dessus et ca n'est pas propre a windows, la seule facon de ce proteger a ce niveau c'est de crypter les données efficacement.


c'est bien exact ça? comment un logiciel peut il cracker le mot de passe du login de w2000 puisque par définition il faut se logguer pour accéder au système et pouvoir exécuter le prog dont tu parles.  :heink:

Reply

Marsh Posté le 15-10-2004 à 01:45:40    

namerh a écrit :

c'est bien exact ça? comment un logiciel peut il cracker le mot de passe du login de w2000 puisque par définition il faut se logguer pour accéder au système et pouvoir exécuter le prog dont tu parles.  :heink:


 

Citation :

Au fait la fameuse disquette linux ne permet pas d'obtenir le password, elle permet de le changer c'est un peu different.

........

Reply

Marsh Posté le 15-10-2004 à 02:47:50    

namerh a écrit :

c'est bien exact ça? comment un logiciel peut il cracker le mot de passe du login de w2000 puisque par définition il faut se logguer pour accéder au système et pouvoir exécuter le prog dont tu parles.  :heink:


 
le prog est executé sur un ordinateur distant du réseau, il essaye d'accéder a ton PC en Brute Force (faut lire: en utilisant des millions de combinaison possible pour tomber sur le bon password)
 
la sécurité parfaite n'existe pas...


---------------
You have no chance to survive make your time.
Reply

Marsh Posté le 15-10-2004 à 14:35:20    

namerh a écrit :

c'est bien exact ça? comment un logiciel peut il cracker le mot de passe du login de w2000 puisque par définition il faut se logguer pour accéder au système et pouvoir exécuter le prog dont tu parles.  :heink:

Non, on peut faire ca a travers le reseau.
Autre chose aussi, le compte administrateur ne sera jamais verouillé automatiquement par le system apres plusieurs tentative comme pour un compte normal, du coup si on ne lui a pas definis un mdp complexe comme l'a decrit El Pollo Diablo plus haut, il y'aura toujours moyen de le cracker.
C'est pour ca qu'il est tres important de renomer le compte administrateur si on veut proteger une machine contre ces attaques.

Reply

Marsh Posté le 19-10-2004 à 01:09:14    

ok.
 
le compte administrateur de mon OS peut-il  etre cracké (au travers du réseau comme dit précédemment), meme si je suis loggué sur mon OS avec un compte utilisateur restreint par exemple?
 
et si oui peut on se logguer (via le réseau) avec ce compte sur mon OS tandis que moi je suis loggué dessus en tant qu'utilisateur?
 

Reply

Marsh Posté le 19-10-2004 à 02:14:53    

On peut tout faire en Info :spamafote:
 
Maintenant a toi de voir si la sécurité est trop contraignante.

Reply

Marsh Posté le 19-10-2004 à 10:23:53    

namerh a écrit :

ok.
 
le compte administrateur de mon OS peut-il  etre cracké (au travers du réseau comme dit précédemment), meme si je suis loggué sur mon OS avec un compte utilisateur restreint par exemple?
 
et si oui peut on se logguer (via le réseau) avec ce compte sur mon OS tandis que moi je suis loggué dessus en tant qu'utilisateur?


 
Ca peut pas se faire en 2 minutes comme avec la disquette Linux si on a un acces physique a la machine, mais ca peut se faire quand meme, ca fait 15 fois qu'on te dit que la secu parfaite c'est utopique, avec suffisament de temps et de moyen tout est crackable a plus ou moins long terme.
A toi de trouver un niveau de sécu qui te convient sans forcement etre jusque-boutiste, par exemple si tu imposes des mots de passes de 15 caractères a changer tous les mois a des utilisateurs, tu es sur de voir fleurir des post-its sur leur ecran avec le mot de passe dessus.

Reply

Marsh Posté le 19-10-2004 à 15:53:41    

[:rarules] cool la liste des patchs pour 2000..
tu pourrais pas mettre leurs fonctions (ou un lien sur leur caractéristiques) et ça ferait un topic  :ange:


Message édité par serveur le 19-10-2004 à 15:55:33
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed