Salut,
 
Je souhaite procéder à l'installation complètement sécurisée de windows2000pro (avant toute connexion à internet).
 
Pour cela je dispose du w2000pro SP4et je me suis procuré les patchs (post SP4) sur le site microsoft technet:
http://www.microsoft.com/technet/s [...] entDL.aspx
 
les voici:  
KB839645
KB840315
KB841873
KB841872
KB842526
KB839643
KB837001
KB828741
KB835732
KB830352
KB828749
KB825119
KB828035
KB826232
KB823182
824105 (MS03-034)
823559 (MS03-023)
 
Après avoir installé tout cela, je suis allé vérifier sur le "Windows update" en ligne, si tout était ok:
http://v4.windowsupdate.microsoft.com/fr/default.asp
 
Or ce dernier trouve encore des mises jours critiques manquantes sur mon système!!!!
 
Les voici:
MS IE6 SP1 (pas de numéro de patch)
KB867801
KB828026
KB870669
KB823353
KB832483
813093 (Virtual Machine)
814078 (MS Script 5.1)
 
Pourquoi Technet ne m'a pas listé ces patchs ci????!
 
D'avance merci

Les outils que tu utilises, bien que tout deux de Microsoft ne vont pas piocher dnasl a même base de référence. Il est fréquent d'avoir des disparités entre Windowsupdate et MBSA.

Installe quand meme un firewall !!!

 
Dans ce cas il est impossible de sécuriser totalement windows avant de se connecter au net puisqu'il faut pour cela faire le win update en ligne!  
--> c'est aberrant! non?

firewall !!!!
+ antivirus et ne jamais ouvir de pieces jointes aux mails douteuses
 
Il doit me manquer 200 patchs et je n ai aucun virus

en attendant, sur xp on a un sp2 mais sur 2000 pas de sp5

trop tot , faut 2ans entre 2 SP , le SP4 est sorti en juillet 2003
 
pi ils vont d ici pas longtemps arreter le support de windows 2000 et tout miser sur windows xp

je ne crois pas non, tu sais que plus de la moitié des entreprises sont encore sous nt4 et 2000 pour les serveurs ? microsoft ne pourra pas imposer xp

la disquette linux pour le password admin de windows:

 
Bigre! et il n'existe aucun moyen de paramétrer w2000 de telle sorte qu'on puisse empecher l'accès via cette disquette?

 
Empêcher l'accès physique au pc

Et si l'on paramètre w2000 pour que d'une part:
 
- ce dernier requiert CTRL+ALT+DEL pour ouvrir la boite de login?
 
d'autre part:
 
- en ne faisant pas afficher le dernier utilisateur qui s'est loggué?
 
--> l'accès par cette disquette est il toujours possible???

Ne fais pas une fixation sur la disquette, y a des millions de facons de rentrer dans les données d un PC

certes mais ça ne répond pas à la question qui précède..
 
pour l'instant en l'état actuel de mes connaissances, c'est cette façon qui m'intéresse! (autant qu'elle m'interpelle!)

Tu met un mot de passe dans le bios et tu le configure de façon a ce qu'on ne puisse pas booter sur une disquette!

 
+1
 
Moi j'ai une question autre :
 
Est-ce que le fais qu'une sessions soit ouverte (protégée par un password bien sur) diminue la sécurité sur un serveur ?

Bien sur
Ne jamais laisser tourner de session active sur un serveur.
A la limite une session qui n'a pas de droit spéciaux

Tu arrives à me dire un peu plus en détails pourquoi ?
 
edit : (en prenant l'exemple d'une session type "utilisateur" ) et est-ce que le fait de vérouiller la session change qqch ?

up

 
Sachant que le support de NT4 arrive tout juste a sa fin, je pense que celui de 2000 a encore quelques années devant lui  

 
Suffit que quelqu'un arrive a lancer quoi que ce soit dans la session, et il le fait avec les droits d'admin.
 

 
Tu as des simples users qui ont le droit de se logguer sur tes serveurs toi ?  

 
Nan mais g une session pr un programme de récupération de données météo qui ne peut pas tourner en tant que service  

bon j'en reviens à cette fameuse diskette linux qui permet de récup le login + password de session sous W2000:
 
j'ai configuré mon OS de telle sorte que pour se logger il faut faire ctrl +alt + del   et de plus aucun login n'apparait mais pas le dernier connecté..  alors si vraiment meme ainsi ça suffit pas, j'aimerais le voir de mes propres yeux.. où puis je trouver ce prog svp?
 
j'avoue avoir du mal à y croire, ça me parait tout de meme énorme qu'un OS soit disant sécurisé soit à ce point une passoire!

avec ces précautions, la disquette arrivera à entrer ds le système.
Mais bien sur, il faut que la personne qui veuille entrer sur ton pc, soit présente ds la même pièce que ton pc. Alors elle peut tout aussi prendre le disque dur et le dire sur un autre pc et ainsi en extraitre les données.
 
Alors si tu n'as pas confiance en les personnes qui ont accès physiquement à ton pc (membres de la famille ?), achètes une armoire que tu puisses fermer à clefs et mets ton pc dedans !

 
tu as vu juste pour "membre de la famille"
 
mais une question: pour utiliser cette disquette je suppose qu'il faut que le PC boote dessus n'est ce pas?
 
donc si j'opte pour:
- un pc cadenacé
- pas de boot sur CD ou disquette
- password bios
 
étant donné que je n'envisage pas le cas où l'on me vole mon PC pour l'éventrer, cette fois y a plus de pb de sécurité concernant l'accès à mes données en local sous w2000, si?

ouverture du PC, clear CMOS = plus de password bios.
 
 
 
 
 
 
 
 
 
 
 

Si tu est en reseau et que tu n'a pas configuré un minimum la securité avec un mdp bidon c tres facile a cracker avec des logicielle comme the reaper ou LC4.
Sinon c'est evident que si on peut acceder physiquement a ton pc on arrivera toujours a lire les données dessus et ca n'est pas propre a windows, la seule facon de ce proteger a ce niveau c'est de crypter les données efficacement.

Au fait la fameuse disquette linux ne permet pas d'obtenir le password, elle permet de le changer c'est un peu different.

 
mdp = ?
 
c'est quoi selon toi "configuré un minimum" stp?
autrement dit: que dois je configurer pour empecher le crackage dont tu parles?
 

 
Et ca ne marche pas pour les comptes AD.

 
Mot de passe
 

 
Au minimum 7 caractères par mot de passe, mélange de lettres (majuscules et minuscules), chiffres et caratères non-alphanumérique, et que bien sur ca ne corresponde a rien de connu qui pourrait etre dans un dictionnaire de mots de passes courant.
Faut aussi activer la désactivation automatique du compte s'il y a trop de tentatives de connexion avec un mauvais mot de passe dans un laps de temps réduit.

c'est bien exact ça? comment un logiciel peut il cracker le mot de passe du login de w2000 puisque par définition il faut se logguer pour accéder au système et pouvoir exécuter le prog dont tu parles.  

........

 
le prog est executé sur un ordinateur distant du réseau, il essaye d'accéder a ton PC en Brute Force (faut lire: en utilisant des millions de combinaison possible pour tomber sur le bon password)
 
la sécurité parfaite n'existe pas...

Non, on peut faire ca a travers le reseau.
Autre chose aussi, le compte administrateur ne sera jamais verouillé automatiquement par le system apres plusieurs tentative comme pour un compte normal, du coup si on ne lui a pas definis un mdp complexe comme l'a decrit El Pollo Diablo plus haut, il y'aura toujours moyen de le cracker.
C'est pour ca qu'il est tres important de renomer le compte administrateur si on veut proteger une machine contre ces attaques.

ok.
 
le compte administrateur de mon OS peut-il  etre cracké (au travers du réseau comme dit précédemment), meme si je suis loggué sur mon OS avec un compte utilisateur restreint par exemple?
 
et si oui peut on se logguer (via le réseau) avec ce compte sur mon OS tandis que moi je suis loggué dessus en tant qu'utilisateur?
 

On peut tout faire en Info
 
Maintenant a toi de voir si la sécurité est trop contraignante.

 
Ca peut pas se faire en 2 minutes comme avec la disquette Linux si on a un acces physique a la machine, mais ca peut se faire quand meme, ca fait 15 fois qu'on te dit que la secu parfaite c'est utopique, avec suffisament de temps et de moyen tout est crackable a plus ou moins long terme.
A toi de trouver un niveau de sécu qui te convient sans forcement etre jusque-boutiste, par exemple si tu imposes des mots de passes de 15 caractères a changer tous les mois a des utilisateurs, tu es sur de voir fleurir des post-its sur leur ecran avec le mot de passe dessus.

cool la liste des patchs pour 2000..
tu pourrais pas mettre leurs fonctions (ou un lien sur leur caractéristiques) et ça ferait un topic