High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Partage de fichiers simple/avancé - Domaine

Dernière réponse le 6 sep 2006 à 12:37:10 Yoan, le 5 sep 2006 à 22:12:19 
 Signaler ce message aux modérateurs

Hello,
J'ai un réseau consitué de 8 machines et un serveur sous W2K Server.
Je gère les autorisations avec Active Directory.
Régulièrement de nouvelles machines non-membres du domaine viennent se connecter au réseau pour bénéficier de la connexion à Internet et avoir accès aux fichiers partagés (autorisations NTFS). Le problème, c'est que sur ces machines, les utilisateurs ont déja des dossiers partagés sur leur réseau personnel en utilisant le partage simple. Du coup, n'importe qui a accès à leurs données partagées.

Après quelques recherches d'activité du réseau, il semblerait que le protocole ICMP (et éventuellement ARP) soit en activité à ce moment-là. Donc finalement, est-ce que bloquer ICMP pourrait :
- D'une machine "nomade" avoir accès aux stations membre du domaine ?
- D'une machine du domaine, interdire l'accès à une machine nomade ?

Peut-être qu'un filtrage aussi par port pourrait résoudre le problème ?

Ca me semble un peu idéaliste ce que je dis, bien que je suis sûr qu'il y ait une façon de le faire, ... mais d'une autre manière ;-))

Merci.

L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...

Meilleures réponses pour « Partage de fichiers simple/avancé Domaine » dans :
[Windows] Partage de fichiers et d'imprimante VoirPré requis Objectif Droit d’accès à la ressource Création de Ressource et Partage Permissions Permission de Partage Permissions NTFS Pré requis Posséder au moins 2 ordinateurs Les 2 ordinateurs doivent être en réseau (Câble croisé,...
Partagez des gros fichiers avec vos correspondants VoirVous voulez partager des fichiers importants, des vidéos de vos vacances, des documents de travail etc etc.. très simplement et efficacement ? Swapper répond à ces questions, avec Swapper l'échange se réalise rapidement et très simplement. Pour...
Partage de fichiers en réseau local sous Windows VoirAvant toute chose, il est nécessaire de mettre en réseau local les ordinateurs pour lesquels un partage de fichiers doit être mis en oeuvre : http://www.commentcamarche.net/configuration-reseau/creer-reseau...
Partage de fichiers sous Windows XP VoirIntérêt Le partage de fichiers consiste à rendre disponible à travers le réseau le contenu d'un ou plusieurs répertoires. Tous les systèmes Windows possèdent en standard des mécanismes permettant de mettre facilement en partage le...
Posez votre question Répondre

1

CHALOUZEAU, le 5 sep 2006 à 22:34:21

Avoir peut etre du cote du firewall xp sp2 ,et de desactive le partage de fichiers windows ?

   
Répondre à CHALOUZEAU

2

Yoan, le 6 sep 2006 à 07:17:05

Mais il faudrait garder le partage de fichiers sur ces ordinateurs :)
Et sur le firewall oui, c'est ce que je compte faire, mais je ne sais pas quoi bloquer :) L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...

   
Répondre à Yoan

3

Lyonnais92, le 6 sep 2006 à 08:36:07

Bonjour,

Bloquer les demandes entrantes en provenance des 8 ordis doit éviter que l'on voit les données des ordis nomades (et les sortantes doit protéger les données de ton réseau). Est ce que cela n'entraîne pas aussi la perte d'accès aux données partagées ?

Il faut certainement conserver l'accès au serveur.

Par contre, c'est certainement lourd à gérer pour l'ordi nomade.

Bonne suite. Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

   
Répondre à Lyonnais92

4

brupala, le 6 sep 2006 à 10:37:39

Salut,
si ils ne sont pas memebres du domaine, comment ont-ils accès aux partages ? les serveurs ne sont pas sur le domaine ?
tu pourrais déjà bloquer les ports 137 et 138 udp ainsi que 139 sur tcp, ça correspond à netbios sur tcpip et normalment un réseau AD ne les utilse pas, c'est plutôt sur le port 445 que ça se passe.
Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
il est ahurissant de laisser des PC extérieurs se connecter à un réseau windows. et ... Voili Voilou Voila !

   
Répondre à brupala

5

Yoan, le 6 sep 2006 à 10:47:17

il est ahurissant de laisser des PC extérieurs se connecter à un réseau windows.
Oui, mais je n'ai pas les connaissances requises pour faire mieux. (Et dans l'immédiat il n'y a que moi pour m'en occuper bénévolement).

Les utilisateurs ont accès aux partages grâce à un login du domaine, leur donnant les autorisations pour accéder aux dossiers nécessaires.

Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
Je suis prêt à le faire si tu m'expliques un peu pluche, avec quels moyens, et comment :)
vlan
Merci :)

Sachant que je n'ai des pare-feu que sur ces machines "nomades", le réseau Internet est filtré par le proxy. L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...

   
Répondre à Yoan

6

brupala, le 6 sep 2006 à 10:54:43


Les utilisateurs ont accès aux partages grâce à un login du domaine, leur donnant les autorisations pour accéder aux dossiers nécessaires.

mais .... leurs machines ne sont pas membres du domaine ?
pour le vlan, il faut des switchs manageables, bien entendu, un routeur ou un firewall entre ce vlan et le reste du réseau, pour une étude complète, ça va prendre un peu de temps ;-) et ... Voili Voilou Voila !

   
Répondre à brupala

7

Yoan, le 6 sep 2006 à 11:00:32

mais .... leurs machines ne sont pas membres du domaine ?
Non.
Lorsqu'ils tentent d'accéder à un dossier partagé du serveur (qui est aussi le contrôleur du domaine), Windows leur demande un login et un mot de passe. De ce fait, ils entrent celui qu'on leur a attribué, leur donnant accès aux dossiers necéssaires.

Aucun des switchs que l'on a n'est manageable. Mais si c'est réalisable, ça doit se trouver :) ....
Si j'ai bien compris, le vlan, branché sur le switch principal devrait créer un sous-réseau auquel on appliquerait les règles de firewall nécessaires ? L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...

   
Répondre à Yoan

8

Yoan, le 6 sep 2006 à 11:02:16

En fait ces machines "nomades", c'est relativement récent et c'est vrai que je n'ai pas immédiatement cherché plus loin. L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...

   
Répondre à Yoan

9

brupala, le 6 sep 2006 à 11:46:42

Oui, c'est cela,
un sous réseau à part qui bloquerait déjà les broadcast udp d' annonce de leurs "services".
ces utilisateurs entrent leur login sous la forme domaine\login alors ?
tu les fais passer à la désinfection avant (karcher, micro ondes ) tu vois , les maladies hautement contagieuses quoi . et ... Voili Voilou Voila !

   
Répondre à brupala

10

 Yoan, le 6 sep 2006 à 12:37:10

ces utilisateurs entrent leur login sous la forme domaine\login alors ?
Oui.

J'ai vérifié qu'il avaient le système de protection minimum. Mais je ne peux pas non plus passer le karcher, ce ne sont pas mes machines :)

OK Merci. Je ne sais pas si acheter du matos vaut vraiment le coup, d'autant que c'est occasionnel. Mais enfin c'est vrai que ça risque de devenir une [mauvaise] habitude. Je vais déja essayer de configurer les pare-feu. Merci. L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...

   
Répondre à Yoan
Posez votre question Répondre
Ils ont besoin de votre aide