Win 10 Pro sur domaine - empecher accès partages réseau - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 30-11-2016 à 11:40:39
Je voulais éviter de paramétrer les droits sur tous les partages car nous avons une dizaine de VM avec chacune plusieurs partages et certaines hébergent des données sensibles (confidentielles défense : plans de pièces pour satellites ou avions et hélicos de combat, etc...).
Donc si je pouvais trouver une solution en local ça me faciliterait grandement la tâche !!
Mais merci quand même pour ta proposition !
Jo_popo
Marsh Posté le 30-11-2016 à 12:05:31
Euh, je pense qu'Activedirectory est mal compris quand je lis ce genre de question.
Si tu as crée un utilisateur avec sa boite mail pour les délégués du personnel, il suffit de ne pas donner à ce compte les accès aux partages. Je ne vois pas ce qu'il y a de compliqué là.
La seule raison pour laquelle ce serait compliqué, c'est si tes partages sont ouverts à tous les "domain users". Là on peut rien pour toi.
Marsh Posté le 30-11-2016 à 12:11:33
flash_gordon a écrit : |
Bah on peut toujours placer un refus, c'est prioritaire.
Marsh Posté le 30-11-2016 à 12:12:38
C'est vrai, mais je parlais de manière générale, on peut rien pour son infrastructure, faut tout refaire
Marsh Posté le 30-11-2016 à 12:31:50
jo_popo a écrit : Je voulais éviter de paramétrer les droits sur tous les partages car nous avons une dizaine de VM avec chacune plusieurs partages et certaines hébergent des données sensibles (confidentielles défense : plans de pièces pour satellites ou avions et hélicos de combat, etc...). |
Quand tu as ce genre de contraintes tu ne mets pas en place ce genre de bricolage bien crade.
Une machine dans un domaine a un accès en lecture par défaut à tous les éléments du domaine, si tu veux brider les accès ça ne sert à rien de l'intégrer au domaine pour commencer. Autant founir une machine en workgroup.
Marsh Posté le 30-11-2016 à 12:51:22
nebulios a écrit : |
Je serais plutôt de l'avis de flash_gordon, un utilisateur pour lequel l'admin n'a pas donné d'accès particulier et qui ne fait pas partie de groupes qui ont des accès particulier ne devrait avoir accès à *rien*, pas à tout.
C'est encore plus vrai avec des données réellement sensibles sur le réseau
Il me semble par ailleurs que l'intégration dans un domaine (par rapport au Workgroup) est justement le moyen le plus éfficace de contrôler/encadrer un utilisateur.
.
A+
Marsh Posté le 30-11-2016 à 12:57:41
Effectivement des partages sur plein de VM ça promet une belle source d'emmerde et de temps perdu.
Maintenant il y a peut être des raisons historiques à tout cela, ou un manque d’expérience tout le monde ne peux pas être expert non plus.
D'ailleurs comment gérer vous vos partages commun vous au niveau droits d'accès ?
Perso j'avais mis chez nous, un lecteur réseau COMMUN avec full access pour les users du domain, et un répertoire SERVICES, avec cette fois-ci 3 groupes de base dedans, par exemple pour la compta :
grp_compta_full - Tous les droits
grp_compta_readonly - Droit en lecture uniquement
grp_compta_readwrite - Lecture et écriture et donc sans suppression
Ca me permettais d'avoir à ajouter un user juste dans un groupe si besoin, ce qui est chiant ça reste la personne qui veut accéder à un sous sous répertoire.
Comment faites-vous dans vos infra ?
Marsh Posté le 30-11-2016 à 13:24:11
nebulios a écrit : |
Non, la machine/utilisateur a accès à ce que tu décides, c'est le but d'AD justement.
Le seul problème, c'est comme dit plus haut, si par défaut tu as mis à tous tes partages, tes imprimantes etc, le plein accès à "Domain user", oui forcément, n'importe quelle machine à accès a tout.
Micko77666 a écrit : |
Même ça je déconseille. Un groupe pour chaque dossier, quitte à mettre tout le monde dans ce groupe. Sinon tu tombes dans le cas de notre ami ici, le jour où tu veux empecher l'accès à ce dossier, tu est dans la merde.
Micko77666 a écrit : et un répertoire SERVICES, avec cette fois-ci 3 groupes de base dedans, par exemple pour la compta : |
Il n'y a pas LA façon, faut adapter en fonction des boites. Par exemple, perso je ne vois pas l’intérêt de différencier modification et suppression, à part se compliquer la vie, pour autant je ne vais pas non plus dire que c'est une mauvaise pratique, si ça répond à des besoin chez vous, tant mieux. Il y a des tonnes de bonnes pratiques, qui se valent, l'une n'est pas mieux qu'une autre. Il y a juste des mauvaises pratiques à éviter.
Voila comment je fais chez nous par exemple :
Un dossier par service, avec un niveau de sous dossiers contenant les droits spéciaux, et c'est tout.
Les droits ne sont pas appliqués sur les dossiers eux-mêmes, mais sur des groupes de sécurité dédiés aux dossiers (et uniquement aux dossiers), portant des noms donc explicites :
Et dans l'AD, une OU est consacré à ces groupes, avec le décisionnaire clairement libellé :
Marsh Posté le 30-11-2016 à 13:28:41
Techniquement c'est comme ça. D'où les difficultés à restreindre: quand tu ajoutes une machine à ton domaine, tu lui fais confiance de façon implicite. SI ce n'est pas me cas c'est workgroup et DMZ.
On parle quand même d'une boîte qui d'un côté doit gérer des accès confidentiel défense, et de l'autre semble faire un peu nawak côté sécurité Windows quand même
Marsh Posté le 30-11-2016 à 13:31:32
Des solutions y en a pas 36 tu crée un user délégué du personnel qui n'a accès à rien sur le réseau. Le principe de l'ad cest justement de ne pas devoir gérer en local. Sinon tu bloques dans le firewall Windows l'accès aux serveurs de fichiers mais si certains sont aussi DC ce risque de pas bien se passer.
Marsh Posté le 30-11-2016 à 13:31:45
La sécurité informatique reste un métier à part entière, comme beaucoup d'admin tu en fais ce qui est logique, mais ça reste pas notre métier. Je pense qu'il est bon de faire un audit à une boite externe qui te donnera des best practices, surtout vu ce que vous faites dans votre boite !
Marsh Posté le 30-11-2016 à 13:31:54
nebulios a écrit : |
Non, la machine/utilisateur a accès à ce que tu décides, c'est le but d'AD justement.
Le seul problème, c'est comme dit plus haut, si par défaut tu as mis à tous tes partages, tes imprimantes etc, le plein accès à "Domain user", oui forcément, n'importe quelle machine à accès a tout, mais ce n'est pas une fatalité de l'AD, ce sont juste des mauvaises pratiques.
Parceque s'il stresse pour cette bécane en particulier, ça veut bien dire ce que ça veut dire : même l'ordi de la secrétaire à l’accueil a accès aux plans secret défense actuellement.
Marsh Posté le 30-11-2016 à 14:25:03
flash_gordon a écrit : |
Le but principal d'un AD n'est pas de sécuriser un environnement. Tu peux le faire via une délégation, il intègre des protocoles de sécurisation, mais ça reste un annuaire, pas un coffre-fort.
Par défaut, un compte machine et un compte utilisateur ont un accès en lecture seule sur l'ensemble des objets. Ce qui est normal : l'objectif premier d'un domaine, c'est de permettre à des machines de communiquer entre elles.
Sécuriser cela est complexe et à des effets de bord conséquents, surtout pour le compte machine.
Tu ne peux pas sécuriser de façon efficiente et/ou efficace quelque chose en partant d'une base open bar. Tu ne peux le faire qu'en restreignant tout par défaut puis en ouvrant petit à petit.
Marsh Posté le 30-11-2016 à 14:27:53
nebulios a écrit : |
Oui, les objets de l'annuaire.
C'est pas sa question/inquiétude. Son problème, ce sont les partages de fichiers.
C'est completement indépendant. Comme je dis plus haut, si mettre une machine sur le domaine donne automatiquement accès à tous les partages de son réseau, il a un gros problème de base.
(et chez toi aussi puisque tu as l'air convaincu de la même chose )
Marsh Posté le 30-11-2016 à 14:49:59
Bas s'il a des partages avec full accès pour les utilisateurs du domain, quand il va mettre un nouveau users dans le domaine, ils ont forcément accès à tout, c'est ça ce qu'il veut dire non ?
Marsh Posté le 30-11-2016 à 14:53:51
Micko77666 a écrit : |
C'est ce que je n’arrête pas de dire. Oui.
Sauf que si tes partages sont accessibles à tous les domains users, son problème va bien au-dela de cette machine en particulier. ça veut dire que même la secrétaire à l’accueil a accès aux fameux documents top secret défense.
Si tu as tes partages ouverts à domain users, c'est pas de la faute d'AD, c'est de la faute de celui qui a fait les partages et à décidé la stratégie IT. Mais ça implique qu'il a déja des graves problèmes de sécu qui ne datent pas de l'ordinateur des délégués du personnel.
Enrôler un ordi sur le domaine n'implique pas de donner accès à tous les partages comme le disent l'auteur ou semble supporter nébulios.
C'est une conséquence si tu as fait des partages ouverts à tous les vents, c'est tout, mais à aucun moment une définition du fonctionnement de l'AD.
C'est même pas un groupe par défaut quand tu fais un partage, si tes partages sont ouverts à domain users, ça ne peut être qu'un choix délibéré.
Marsh Posté le 30-11-2016 à 15:55:11
Comme déjà proposé plus haut --> Poste de travail en workgroup, avec un compte utilisateur local. Ca va de toute façon être le but de l'usage du poste : travailler en local.
Dans toutes les boites que j'ai faites, les postes DP/CE ou équivalents étaient en workgroup, surtout pas sur le domaine, et parfois même sur un réseau séparé.
Marsh Posté le 30-11-2016 à 16:35:01
Si tu ne veux pas t'embêter avec les partages, fais un vlan que pour ces postes, avec des ACL qui les empêchent d'accèder aux serveurs de fichiers.
Ou alors comme dit au dessus, workgroup, compte local, pas besoin de plus.
Marsh Posté le 30-11-2016 à 17:08:17
flash_gordon a écrit : |
On s'est mal compris
Mon point de vue, c'est qu'une machine, c'est un point d'entrée, qui peut être utilisé à des fins malveillantes. Je ne parle pas que des accès aux partages, mais de l'accès à l'AD et aux autres machines en général (pour éviter les attaque en brute force par exemple). Typiquement tout ce qui est accessible via RPC.
Dans un environnement où la sécurité compte (comme celui du posteur initial), tu n'intègres à ton domaine que des machines auquel tu peux faire confiance.
Ce qui n'est pas le cas ici (-> j'ai besoin de restreindre tout accès local ou presque). Donc dans ce cas tu ne l'intègres même pas au domaine.
Marsh Posté le 30-11-2016 à 17:12:26
nebulios a écrit : |
Je suis d'accord là-dessus.
Cela dit :
nebulios a écrit : |
On est quand même bien d'accord pour dire que dans un environnement où la sécurité compte, si le fait d'avoir accès au domaine donne immédiatement accès à tous les partages y compris les ultra-confidentiels, comme il a l'air de le décrire, il y a quand même un problème de base non lié à l'AD ?
Marsh Posté le 30-11-2016 à 17:17:32
Bah je me quote :
Citation : On parle quand même d'une boîte qui d'un côté doit gérer des accès confidentiel défense, et de l'autre semble faire un peu nawak côté sécurité Windows quand même |
J'espère pour eux qu'aucun audit n'est prévu
Marsh Posté le 30-11-2016 à 21:20:19
Quand je vois ce que fais Renault ou d'autres gros groupes niveau sécurité .... (Dropbox sur leurs PC que j'ai vu) je crois qu'il y a pas de quoi rougir.
Malheureusement on est toujours très critiques sur les défauts des infra des autres et peu sur les notre. Certains ont la chance d'avoir des services info avec 5 ou 6 ingés, donc avec des avis/formations/expériences différentes, d'autres sont seuls et font au mieux. Mais ces discussions sont bien justement, ça permet de voir ce que fais chacun avec ses problématiques (users, budget etc...).
Marsh Posté le 30-11-2016 à 21:46:40
perso ce soucis je l'ai gere de 2 façon et mon prof a l'epoque 3
1) methode ultime qui peuvent empeché le foctionement de wsus
c'est de virer le driver service partage fichier windows dans les parametre ip (mon prof le faisait pour etre sur qu'on echange rien durant les tp)
2) via la gpo SCTSettings.adm (gpo crée pour steady sate qui a une option pour de virer le parcour du reseau l'acces au partage)
3) parefeu transparent avec un routeur edgmax (un parefeu qui empeche toute comunication externe sauf ip et port clairement deifini (wsus,impirmant et port 80 ouvert, le reste est invisible pour le poste) )
4) vlan avec routage intervlan pour wsus ad et imprimante
Marsh Posté le 30-11-2016 à 21:50:56
Pas plus simple de mettre des règles de pare-feux directement sur le PC ?
Marsh Posté le 30-11-2016 à 23:04:37
Wolfman a écrit : Comme déjà proposé plus haut --> Poste de travail en workgroup, avec un compte utilisateur local. Ca va de toute façon être le but de l'usage du poste : travailler en local. |
Idem je n'ai jamais vu des pc d'un CE faire partie du domaine de l'entreprise. C'est un reseau bien à part et souvent le CE a sa propre imprimante vour meme sa propre liaison internet
Marsh Posté le 01-12-2016 à 19:04:49
AGDLP pour la gestion des droits, mais en effet DP et CE n'ont rien a faire sur le réseau de l'entreprise c'est compromettre leur indépendance que de leur fournir du service et/ou du matériel.
Marsh Posté le 30-11-2016 à 10:45:15
Bonjour à tous,
dans mon entreprise nous avons un domaine avec une centaine de poste.
Je dois préparer un poste un peu spécial pour les délégués du personnel et ce poste doit avoir les spécificités suivantes :
- être sur le domaine pour profiter du serveur WSUS et pour être monitoré au niveau de la console antivirus.
- avoir un accès internet ainsi qu'une messagerie (nous avons un serveur Exchange)
- n'avoir aucun accès aux partages réseau ni à aucun dossier ou fichier sur le réseau
- pouvoir imprimer sur une Xerox 7845 sur le réseau.
Bref il doit pouvoir imprimer sur le réseau, naviguer sur internet mais ne pas pouvoir accéder aux dossiers et fichiers du réseau.
Quelqu'un connait une manière simple de bloquer l'accès aux dossiers et fichiers réseaux ?! Sachant que le reste c'est bon, tout est en place, il ne reste plus qu'à bloquer l'accès aux dossiers et fichiers réseau.
Merci d'avance à vous !!!!
Jo_popo aka Kalonji
---------------
Tout ce qui monte redescend un jour ...