Reprise du message précédent :

 
Juste une petite question, tu te bases sur quoi pour dire qu'un poste est correctement sécurisé ?
J'ai mes propres méthodes, mais je suis toujours près à en apprendre d'autre.  
 
Tu veux bien partager certaines de tes solutions de sécurisation de poste ou si tu te bases sur un référent donner un petit link ou une référence de livre ?  

je me base sur ma propre expérience : j'ai du mettre à disposition très régulièrement des ordinateurs à destination du public dans des espaces emploi notamment, là ou l'on est sur que l'ordinateur sera utilisé pour tout et rien à la fois, dans des bibliothèques, dans des cours multimédia etc...
 
A partir du moment ou en phase de tests aucun de tes collègues ou des personnes sondées n'arrive à faire plus avec le poste de travail que ce qui est configuré, alors ça me semble convenable.
 
Il n'y a pas besoin de plus que les stratégies locales sur XP pour avoir un poste très fermé.
 
Encore une fois, j'insiste pour dire que le poste de travail n'est réellement sécurisé que dans le cas où l'accès au hardware est impossible.
 
Moi je faisais des PC 'opaques' quand je ne pouvais pas planquer le PC : pas de floppy, pas de CD, USB désactivé, pas de visserie sur le PC, boutons reset/power désactivés etc...
 
Un ordinateur pour le public doit être une boite noire, rien d'autre.

 
 
mouais enfin , suffit de faire quelques recherche , il peut etre désactivé sans aucun probléme du moment que l'on peut booter sur autre chose que le disque dur.
 

 
 
Merci de relire ce à quoi je répondais
 
Et perso je suis allé au delà des recherches. Donc je cause de ce que je connais (comme tjs ).

 
 
 
oui désolé j'ai pris le debat en cours et je viens de finir de lire les reponses trés interessantes.
 
Je me suis permis la remarque , car au debut de la discussion , tu parles de mots de passe plus complexe , ce qui ne change rien quand on a accés au hardware.
 
bref n'y  voit rien de personnel je ne doute pas que tu parles  de choses que tu maitrises .

Avoir un mdp complexe interdit ou complique sérieusement sa découverte.
 
Hors découvrir le mdp admin d'un poste client d'entreprise (qui a de fortes chances d'être le même que celui de tous les postes clients de la même entreprise - voir dans le pire des cas celui du domaine), c'est nettement plus grave que de réinitialiser le mdp admin d'un seul poste client.

 
 
vi bien entendu ça complique sa decouverte mais pas sa réinitialisation par un cd boot comme dans le cas present etant donné que l'accés au hardware n'etait pas bloqué au moment des faits.
 
maintenant je ne suis pas  administrateur reseau et je fais confiance aux pros , je suis juste un utilisateur distrait qui a du trouver une solution pour rentrer dans son compte administrateur et qui a était tres supris par l'aisance de la chose !

Oui mais comme je l'ai exposé : réinitialiser un mdp et le casser, ce n'est pas la même chose et n'a pas les mêmes incidences au niveau de la sécurité.

si c'est un MDP local c est pas trop grave ... casser celui du domaine c est deja une autre histoire.

mais c est pas la même difficulté non plus

Ca reste plus grave que de simplement le réinitialiser.

car il y a des fortes chances qu'en cassant le mdp admin d'un poste client, tu accèdes en admin à tous les postes clients !

en plus, le hack dans ce cas là est moins visible. Si l'admin désire se logguer en admin local sur le poste hacké, il le pourra et ne se rendra pas compte qu'il y a eu hack alors que dans le cas d'un mdp admin réinitialisé, l'admin se rendra compte de suite du soucis.

Enfin, je serai curieux de savoir combien de petites entreprises ou établissements scolaires ont le même mdp admin local et domaine ...