PC Hors domaine - Aucunne adresse IP
Fermé
Thousandearth
Messages postés
6
Date d'inscription
mercredi 10 décembre 2014
Statut
Membre
Dernière intervention
11 décembre 2014
-
10 déc. 2014 à 13:07
bendrop Messages postés 12482 Date d'inscription jeudi 30 juin 2005 Statut Contributeur Dernière intervention 17 avril 2024 - 11 déc. 2014 à 12:27
bendrop Messages postés 12482 Date d'inscription jeudi 30 juin 2005 Statut Contributeur Dernière intervention 17 avril 2024 - 11 déc. 2014 à 12:27
A voir également:
- Se connecter à un pc hors domaine
- Se connecter à ma boite hotmail - Guide
- Se connecter à un autre compte facebook - Guide
- Remettre a zero un pc - Guide
- Hors ligne instagram - Guide
- Benchmark pc - Guide
8 réponses
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié par kelux le 10/12/2014 à 13:40
Modifié par kelux le 10/12/2014 à 13:40
Bonjour,
Alors il faut voir le problème de différentes façons.
MBSA ? je ne voies pas le lien ici.
GPO : à quoi avez vous pensé ?
VLAN : sans succès ?
-
Dans un premier temps, il faut surement revoir les droits donnés au partage , au moins on limite.
En cas de pénétration, on s'assure que ce n'est pas exposé.
-
Outre ce point, le problème se situe sur les accès physiques au réseau.
Je suppose que vous parlez d'accès via Ethernet, car vous ne l'avez pas indiqué.
On peut faire de même pour le wifi.
Je vais supposer qu'on parle d'accès filaire.
-
On peut faire du mac locking sur les switchs : on associe une mac à un port du switch. C'est fastidieux à mettre en place, mais la plus simple techniquement.
Si on est sur une faible population c'est gérable. (50 clients c'est pas la mort, 25 000 , on en re discute).
-
Il y avait une fonctionnalité de mac filtering sur le DHCP windows.
En gros on a une liste "acceptées" et une liste "refusées".
Je n'ai pas d'expérience sur cette méthode. Elle a l'air facilement réalisable.
En anglais ça s'appelle le link layer filtering. (DHCP sous 2008 minimum)
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd759259(v=ws.11)?redirectedfrom=MSDN
-
Après on peut sortir la grosse usine : 802.1.x
En gros le switch va fermer ou ouvrir le port où une machine se connecte.
Il vérifie via Radius si la machine peut se connecter. Si les informations de la stratégie d'accès ne matchent pas, le switch n'ouvre pas le port.
Le terme "peut se connecter" est vague : on paramètre des stratégies d'accès, cela peut être une authent par certificats (PEAP), simple mot de passe, MS-CHAP etc ...
J'ai uniquement testé avec certificats ; mais je suppose qu'il y a moyen de faire plus simple et de matcher que la machine appartient au domaine par exemple.
Par contre : il faut des switchs qui sachent le faire. Ca demande de configurer les switchs, et d'installer un serveur Radius ; de configurer les stratégies d'accès.
En gros, les tests sont plus lourds et techniquement c'est plus compliqué.
(cette méthode/technique peut évoluer pour aller vers du NAP/NAC ...)
-
Je miserai sur le Link Layer filtering dans DHCP qui est plus simple à mettre en oeuvre.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Alors il faut voir le problème de différentes façons.
MBSA ? je ne voies pas le lien ici.
GPO : à quoi avez vous pensé ?
VLAN : sans succès ?
-
Dans un premier temps, il faut surement revoir les droits donnés au partage , au moins on limite.
En cas de pénétration, on s'assure que ce n'est pas exposé.
-
Outre ce point, le problème se situe sur les accès physiques au réseau.
Je suppose que vous parlez d'accès via Ethernet, car vous ne l'avez pas indiqué.
On peut faire de même pour le wifi.
Je vais supposer qu'on parle d'accès filaire.
-
On peut faire du mac locking sur les switchs : on associe une mac à un port du switch. C'est fastidieux à mettre en place, mais la plus simple techniquement.
Si on est sur une faible population c'est gérable. (50 clients c'est pas la mort, 25 000 , on en re discute).
-
Il y avait une fonctionnalité de mac filtering sur le DHCP windows.
En gros on a une liste "acceptées" et une liste "refusées".
Je n'ai pas d'expérience sur cette méthode. Elle a l'air facilement réalisable.
En anglais ça s'appelle le link layer filtering. (DHCP sous 2008 minimum)
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd759259(v=ws.11)?redirectedfrom=MSDN
-
Après on peut sortir la grosse usine : 802.1.x
En gros le switch va fermer ou ouvrir le port où une machine se connecte.
Il vérifie via Radius si la machine peut se connecter. Si les informations de la stratégie d'accès ne matchent pas, le switch n'ouvre pas le port.
Le terme "peut se connecter" est vague : on paramètre des stratégies d'accès, cela peut être une authent par certificats (PEAP), simple mot de passe, MS-CHAP etc ...
J'ai uniquement testé avec certificats ; mais je suppose qu'il y a moyen de faire plus simple et de matcher que la machine appartient au domaine par exemple.
Par contre : il faut des switchs qui sachent le faire. Ca demande de configurer les switchs, et d'installer un serveur Radius ; de configurer les stratégies d'accès.
En gros, les tests sont plus lourds et techniquement c'est plus compliqué.
(cette méthode/technique peut évoluer pour aller vers du NAP/NAC ...)
-
Je miserai sur le Link Layer filtering dans DHCP qui est plus simple à mettre en oeuvre.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
