Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
3617 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Win 10 Pro sur domaine - empecher accès partages réseau

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Win 10 Pro sur domaine - empecher accès partages réseau

n°143553
jo_popo
aka Kalonji
Posté le 30-11-2016 à 10:45:15  profilanswer
 

Bonjour à tous,
 
dans mon entreprise nous avons un domaine avec une centaine de poste.  
Je dois préparer un poste un peu spécial pour les délégués du personnel et ce poste doit avoir les spécificités suivantes :
 
- être sur le domaine pour profiter du serveur WSUS et pour être monitoré au niveau de la console antivirus.
- avoir un accès internet ainsi qu'une messagerie (nous avons un serveur Exchange)
- n'avoir aucun accès aux partages réseau ni à aucun dossier ou fichier sur le réseau
- pouvoir imprimer sur une Xerox 7845 sur le réseau.
 
Bref il doit pouvoir imprimer sur le réseau, naviguer sur internet mais ne pas pouvoir accéder aux dossiers et fichiers du réseau.
Quelqu'un connait une manière simple de bloquer l'accès aux  dossiers et fichiers réseaux ?!  Sachant que le reste c'est bon, tout est en place, il ne reste plus qu'à bloquer l'accès aux dossiers et fichiers réseau.
 
Merci d'avance à vous !!!!       :jap:  :jap:  :jap:  :jap:  
 
Jo_popo aka Kalonji     [:the real latouchef7]


---------------
Tout ce qui monte redescend un jour ...
mood
Publicité
Posté le 30-11-2016 à 10:45:15  profilanswer
 

n°143555
ShonGail
En phase de calmitude ...
Posté le 30-11-2016 à 11:36:07  profilanswer
 

Euh ... les droits NTFS et de partages ?  [:twixy]

n°143556
jo_popo
aka Kalonji
Posté le 30-11-2016 à 11:40:39  profilanswer
 

Je voulais éviter de paramétrer les droits sur tous les partages car nous avons une dizaine de VM avec chacune plusieurs partages et certaines hébergent des données sensibles (confidentielles défense : plans de pièces pour satellites ou avions et hélicos de combat, etc...).
 
Donc si je pouvais trouver une solution en local ça me faciliterait grandement la tâche !!
 
Mais merci quand même pour ta proposition !
 
Jo_popo     :hello:


---------------
Tout ce qui monte redescend un jour ...
n°143557
flash_gord​on
Posté le 30-11-2016 à 12:05:31  profilanswer
 

Euh, je pense qu'Activedirectory est mal compris quand je lis ce genre de question.
 
Si tu as crée un utilisateur avec sa boite mail pour les délégués du personnel, il suffit de ne pas donner à ce compte les accès aux partages. Je ne vois pas ce qu'il y a de compliqué là.
 
La seule raison pour laquelle ce serait compliqué, c'est si tes partages sont ouverts à tous les "domain users". Là on peut rien pour toi.

Message cité 1 fois
Message édité par flash_gordon le 30-11-2016 à 12:05:38
n°143558
ShonGail
En phase de calmitude ...
Posté le 30-11-2016 à 12:11:33  profilanswer
 

flash_gordon a écrit :


La seule raison pour laquelle ce serait compliqué, c'est si tes partages sont ouverts à tous les "domain users". Là on peut rien pour toi.


 
Bah on peut toujours placer un refus, c'est prioritaire.

n°143559
flash_gord​on
Posté le 30-11-2016 à 12:12:38  profilanswer
 

C'est vrai, mais je parlais de manière générale, on peut rien pour son infrastructure, faut tout refaire :D


Message édité par flash_gordon le 30-11-2016 à 12:12:58
n°143562
nebulios
Posté le 30-11-2016 à 12:31:50  profilanswer
 

jo_popo a écrit :

Je voulais éviter de paramétrer les droits sur tous les partages car nous avons une dizaine de VM avec chacune plusieurs partages et certaines hébergent des données sensibles (confidentielles défense : plans de pièces pour satellites ou avions et hélicos de combat, etc...).
 
 


Quand tu as ce genre de contraintes tu ne mets pas en place ce genre de bricolage bien crade.
 
Une machine dans un domaine a un accès en lecture par défaut à tous les éléments du domaine, si tu veux brider les accès ça ne sert à rien de l'intégrer au domaine pour commencer. Autant founir une machine en workgroup.

n°143563
eusebius
Posté le 30-11-2016 à 12:51:22  profilanswer
 

nebulios a écrit :


Une machine dans un domaine a un accès en lecture par défaut à tous les éléments du domaine [...]


 
 :heink:  
Je serais plutôt de l'avis de flash_gordon, un utilisateur pour lequel l'admin n'a pas donné d'accès particulier et qui ne fait pas partie de groupes qui ont des accès particulier ne devrait avoir accès à *rien*, pas à tout.
C'est encore plus vrai avec des données réellement sensibles sur le réseau
 
Il me semble par ailleurs que l'intégration dans un domaine (par rapport au Workgroup) est justement le moyen le plus éfficace de contrôler/encadrer un utilisateur.
 
.
A+
 

n°143564
Micko77666
Posté le 30-11-2016 à 12:57:41  profilanswer
 


Effectivement des partages sur plein de VM ça promet une belle source d'emmerde et de temps perdu.
Maintenant il y a peut être des raisons historiques à tout cela, ou un manque d’expérience tout le monde ne peux pas être expert non plus.
 
D'ailleurs comment gérer vous vos partages commun vous au niveau droits d'accès ?
 
 
Perso j'avais mis chez nous, un lecteur réseau COMMUN avec full access pour les users du domain, et un répertoire SERVICES, avec cette fois-ci 3 groupes de base dedans, par exemple pour la compta :
 
grp_compta_full - Tous les droits
grp_compta_readonly -  Droit en lecture uniquement
grp_compta_readwrite - Lecture et écriture et donc sans suppression
 
Ca me permettais d'avoir à ajouter un user juste dans un groupe si besoin, ce qui est chiant ça reste la personne qui veut accéder à un sous sous répertoire.
 
Comment faites-vous dans vos infra ?

n°143568
flash_gord​on
Posté le 30-11-2016 à 13:24:11  profilanswer
 

nebulios a écrit :


Une machine dans un domaine a un accès en lecture par défaut à tous les éléments du domaine


 
Non, la machine/utilisateur a accès à ce que tu décides, c'est le but d'AD justement.
 
Le seul problème, c'est comme dit plus haut, si par défaut tu as mis à tous tes partages, tes imprimantes etc, le plein accès à "Domain user", oui forcément, n'importe quelle machine à accès a tout.
 
 

Micko77666 a écrit :


Perso j'avais mis chez nous, un lecteur réseau COMMUN avec full access pour les users du domain


 
Même ça je déconseille. Un groupe pour chaque dossier, quitte à mettre tout le monde dans ce groupe. Sinon tu tombes dans le cas de notre ami ici, le jour où tu veux empecher l'accès à ce dossier, tu est dans la merde.
 

Micko77666 a écrit :

et un répertoire SERVICES, avec cette fois-ci 3 groupes de base dedans, par exemple pour la compta :
 
grp_compta_full - Tous les droits
grp_compta_readonly -  Droit en lecture uniquement
grp_compta_readwrite - Lecture et écriture et donc sans suppression
 
Ca me permettais d'avoir à ajouter un user juste dans un groupe si besoin, ce qui est chiant ça reste la personne qui veut accéder à un sous sous répertoire.
 
Comment faites-vous dans vos infra ?


 
Il n'y a pas LA façon, faut adapter en fonction des boites. Par exemple, perso je ne vois pas l’intérêt de différencier modification et suppression,  à part se compliquer la vie, pour autant je ne vais pas non plus dire que c'est une mauvaise pratique, si ça répond à des besoin chez vous, tant mieux. Il y a des tonnes de bonnes pratiques, qui se valent, l'une n'est pas mieux qu'une autre. Il y a juste des mauvaises pratiques à éviter.
 
 
Voila comment je fais chez nous par exemple :
 
Un dossier par service, avec un niveau de sous dossiers contenant les droits spéciaux, et c'est tout.
 
http://reho.st/self/a164219f57b7f320a6db133d0a8b5be2c2fe4833.jpg
 
Les droits ne sont pas appliqués sur les dossiers eux-mêmes, mais sur des groupes de sécurité dédiés aux dossiers (et uniquement aux dossiers), portant des noms donc explicites :
 
http://reho.st/self/a1a163c1569abfb3d468f9990234027aaa169df3.jpg
 
Et dans l'AD, une OU est consacré à ces groupes, avec le décisionnaire clairement libellé :
 
http://reho.st/self/410c28f99f09be8cdb44d2e97363bf4b67cb6d9c.jpg


Message édité par flash_gordon le 30-11-2016 à 13:30:14
mood
Publicité
Posté le 30-11-2016 à 13:24:11  profilanswer
 

n°143570
nebulios
Posté le 30-11-2016 à 13:28:41  profilanswer
 


Techniquement c'est comme ça. D'où les difficultés à restreindre: quand tu ajoutes une machine à ton domaine, tu lui fais confiance de façon implicite. SI ce n'est pas me cas c'est workgroup et DMZ.
 
On parle quand même d'une boîte qui d'un côté doit gérer des accès confidentiel défense, et de l'autre semble faire un peu nawak côté sécurité Windows quand même :/

n°143571
snipereyes
Posté le 30-11-2016 à 13:31:32  profilanswer
 

Des solutions y en a pas 36 tu crée un user délégué du personnel qui n'a accès à rien sur le réseau. Le principe de l'ad cest justement de ne pas devoir gérer en local. Sinon tu bloques dans le firewall Windows l'accès aux serveurs de fichiers mais si certains sont aussi DC ce risque de pas bien se passer.


---------------
-- Topic de vente -- FeedBack --
n°143572
Micko77666
Posté le 30-11-2016 à 13:31:45  profilanswer
 


La sécurité informatique reste un métier à part entière, comme beaucoup d'admin tu en fais ce qui est logique, mais ça reste pas notre métier. Je pense qu'il est bon de faire un audit à une boite externe qui te donnera des best practices, surtout vu ce que vous faites dans votre boite !

n°143573
flash_gord​on
Posté le 30-11-2016 à 13:31:54  profilanswer
 

nebulios a écrit :


Techniquement c'est comme ça. D'où les difficultés à restreindre


 
Non, la machine/utilisateur a accès à ce que tu décides, c'est le but d'AD justement.
 
Le seul problème, c'est comme dit plus haut, si par défaut tu as mis à tous tes partages, tes imprimantes etc, le plein accès à "Domain user", oui forcément, n'importe quelle machine à accès a tout, mais ce n'est pas une fatalité de l'AD, ce sont juste des mauvaises pratiques.
 
Parceque s'il stresse pour cette bécane en particulier, ça veut bien dire ce que ça veut dire : même l'ordi de la secrétaire à l’accueil a accès aux plans secret défense actuellement.

Message cité 1 fois
Message édité par flash_gordon le 30-11-2016 à 13:36:25
n°143576
nebulios
Posté le 30-11-2016 à 14:25:03  profilanswer
 

flash_gordon a écrit :


 
Non, la machine/utilisateur a accès à ce que tu décides, c'est le but d'AD justement.
 


 
Le but principal d'un AD n'est pas de sécuriser un environnement. Tu peux le faire via une délégation, il intègre des protocoles de sécurisation, mais ça reste un annuaire, pas un coffre-fort.
 
Par défaut, un compte machine et un compte utilisateur ont un accès en lecture seule sur l'ensemble des objets. Ce qui est normal : l'objectif premier d'un domaine, c'est de permettre à des machines de communiquer entre elles.
Sécuriser cela est complexe et à des effets de bord conséquents, surtout pour le compte machine.
 
Tu ne peux pas sécuriser de façon efficiente et/ou efficace quelque chose en partant d'une base open bar. Tu ne peux le faire qu'en restreignant tout par défaut puis en ouvrant petit à petit.

n°143577
flash_gord​on
Posté le 30-11-2016 à 14:27:53  profilanswer
 

nebulios a écrit :


 
Par défaut, un compte machine et un compte utilisateur ont un accès en lecture seule sur l'ensemble des objets.


 
Oui, les objets de l'annuaire.
 
C'est pas sa question/inquiétude. Son problème, ce sont les partages de fichiers.
 
C'est completement indépendant. Comme je dis plus haut, si mettre une machine sur le domaine donne automatiquement accès à tous les partages de son réseau, il a un gros problème de base.
(et chez toi aussi puisque tu as l'air convaincu de la même chose :o)


Message édité par flash_gordon le 30-11-2016 à 14:30:13
n°143578
Micko77666
Posté le 30-11-2016 à 14:49:59  profilanswer
 


Bas s'il a des partages avec full accès pour les utilisateurs du domain, quand il va mettre un nouveau users dans le domaine, ils ont forcément accès à tout, c'est ça ce qu'il veut dire non ?

n°143579
flash_gord​on
Posté le 30-11-2016 à 14:53:51  profilanswer
 

Micko77666 a écrit :


Bas s'il a des partages avec full accès pour les utilisateurs du domain, quand il va mettre un nouveau users dans le domaine, ils ont forcément accès à tout, c'est ça ce qu'il veut dire non ?


 
C'est ce que je n’arrête pas de dire. Oui.
 
Sauf que si tes partages sont accessibles à tous les domains users, son problème va bien au-dela de cette machine en particulier. ça veut dire que même la secrétaire à l’accueil a accès aux fameux documents top secret défense.
 
Si tu as tes partages ouverts à domain users, c'est pas de la faute d'AD, c'est de la faute de celui qui a fait les partages et à décidé la stratégie IT. Mais ça implique qu'il a déja des graves problèmes de sécu qui ne datent pas de l'ordinateur des délégués du personnel.
 
Enrôler un ordi sur le domaine n'implique pas de donner accès à tous les partages comme le disent l'auteur ou semble supporter nébulios.
 
C'est une conséquence si tu as fait des partages ouverts à tous les vents, c'est tout, mais à aucun moment une définition du fonctionnement de l'AD.  
C'est même pas un groupe par défaut quand tu fais un partage, si tes partages sont ouverts à domain users, ça ne peut être qu'un choix délibéré.

Message cité 1 fois
Message édité par flash_gordon le 30-11-2016 à 15:06:47
n°143582
Wolfman
Modérateur
Lobo'tomizado
Posté le 30-11-2016 à 15:55:11  profilanswer
 

Comme déjà proposé plus haut --> Poste de travail en workgroup, avec un compte utilisateur local. Ca va de toute façon être le but de l'usage du poste : travailler en local.
 
Dans toutes les boites que j'ai faites, les postes DP/CE ou équivalents étaient en workgroup, surtout pas sur le domaine, et parfois même sur un réseau séparé.

n°143585
schmosy
Posté le 30-11-2016 à 16:35:01  profilanswer
 

Si tu ne veux pas t'embêter avec les partages, fais un vlan que pour ces postes, avec des ACL qui les empêchent d'accèder aux serveurs de fichiers.
 
Ou alors comme dit au dessus, workgroup, compte local, pas besoin de plus.

n°143588
nebulios
Posté le 30-11-2016 à 17:08:17  profilanswer
 

flash_gordon a écrit :


 
Enrôler un ordi sur le domaine n'implique pas de donner accès à tous les partages comme le disent l'auteur ou semble supporter nébulios.
 


 
On s'est mal compris :D
 
Mon point de vue, c'est qu'une machine, c'est un point d'entrée, qui peut être utilisé à des fins malveillantes. Je ne parle pas que des accès aux partages, mais de l'accès à l'AD et aux autres machines en général (pour éviter les attaque en brute force par exemple). Typiquement tout ce qui est accessible via RPC.
 
Dans un environnement où la sécurité compte (comme celui du posteur initial), tu n'intègres à ton domaine que des machines auquel tu peux faire confiance.
 
Ce qui n'est pas le cas ici (-> j'ai besoin de restreindre tout accès local ou presque). Donc dans ce cas tu ne l'intègres même pas au domaine.

n°143589
flash_gord​on
Posté le 30-11-2016 à 17:12:26  profilanswer
 

nebulios a écrit :


Mon point de vue, c'est qu'une machine, c'est un point d'entrée, qui peut être utilisé à des fins malveillantes. Je ne parle pas que des accès aux partages, mais de l'accès à l'AD et aux autres machines en général (pour éviter les attaque en brute force par exemple). Typiquement tout ce qui est accessible via RPC.  


 
 
Je suis d'accord là-dessus.
 
 
Cela dit :
 

nebulios a écrit :


Dans un environnement où la sécurité compte (comme celui du posteur initial)


 
On est quand même bien d'accord pour dire que dans un environnement où la sécurité compte, si le fait d'avoir accès au domaine donne immédiatement accès à tous les partages y compris les ultra-confidentiels, comme il a l'air de le décrire, il y a quand même un problème de base non lié à l'AD ? :D


Message édité par flash_gordon le 30-11-2016 à 17:13:17
n°143591
nebulios
Posté le 30-11-2016 à 17:17:32  profilanswer
 

Bah je me quote :
 

Citation :

On parle quand même d'une boîte qui d'un côté doit gérer des accès confidentiel défense, et de l'autre semble faire un peu nawak côté sécurité Windows quand même :/


 
J'espère pour eux qu'aucun audit n'est prévu :o

n°143596
Micko77666
Posté le 30-11-2016 à 21:20:19  profilanswer
 


Quand je vois ce que fais Renault ou d'autres gros groupes niveau sécurité .... (Dropbox sur leurs PC que j'ai vu) je crois qu'il y a pas de quoi rougir.
 
Malheureusement on est toujours très critiques sur les défauts des infra des autres et peu sur les notre. Certains ont la chance d'avoir des services info avec 5 ou 6 ingés, donc avec des avis/formations/expériences différentes, d'autres sont seuls et font au mieux. Mais ces discussions sont bien justement, ça permet de voir ce que fais chacun avec ses problématiques (users, budget etc...).

n°143598
exmachina
Posté le 30-11-2016 à 21:46:40  profilanswer
 

perso ce soucis je l'ai gere de 2 façon et mon prof a l'epoque 3
 
1) methode ultime qui peuvent empeché le foctionement de wsus  
c'est de virer le driver service partage fichier windows dans les parametre ip (mon prof le faisait pour etre sur qu'on echange rien durant les tp)
 
2) via la gpo SCTSettings.adm (gpo crée pour steady sate qui a une option pour de virer le parcour du reseau l'acces au partage)
 
3) parefeu transparent avec un routeur edgmax  (un parefeu qui empeche toute comunication externe sauf ip et port clairement deifini (wsus,impirmant et port 80 ouvert, le reste est invisible pour le poste) )
 
4) vlan avec routage intervlan pour wsus ad et imprimante


Message édité par exmachina le 30-11-2016 à 21:47:49
n°143599
Micko77666
Posté le 30-11-2016 à 21:50:56  profilanswer
 


Pas plus simple de mettre des règles de pare-feux directement sur le PC ?  

n°143601
vrobaina
Hecho a Mano
Posté le 30-11-2016 à 23:04:37  profilanswer
 

Wolfman a écrit :

Comme déjà proposé plus haut --> Poste de travail en workgroup, avec un compte utilisateur local. Ca va de toute façon être le but de l'usage du poste : travailler en local.
 
Dans toutes les boites que j'ai faites, les postes DP/CE ou équivalents étaient en workgroup, surtout pas sur le domaine, et parfois même sur un réseau séparé.


 :jap:  
Idem je n'ai jamais vu des pc d'un CE faire partie du domaine de l'entreprise. C'est un reseau bien à part et souvent le CE a sa propre imprimante vour meme sa propre liaison internet


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
n°143626
Lone Morge​n
Posté le 01-12-2016 à 19:04:49  profilanswer
 

AGDLP pour la gestion des droits, mais en effet DP et CE n'ont rien a faire sur le réseau de l'entreprise c'est compromettre leur indépendance que de leur fournir du service et/ou du matériel.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Win 10 Pro sur domaine - empecher accès partages réseau

 

Sujets relatifs
Problème de liaison Radius entre serveur web debian et win server 2012Lenteur d'accès à un NAS
Droits d'accès précis[Résolu/Impossible] Donner accès Hyper-V
Partager un dossier à une personne du réseauMappage lecteur Réseau Impossible
[Win 2012] UAC et impact sur les ACL NTFSMAJ windows 10 gourmandes en debit reseau
Créér un réseau privé 
Plus de sujets relatifs à : Win 10 Pro sur domaine - empecher accès partages réseau


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR