Etanchéité des environnements sur XP

Le
Eric
Bonjour,

j'ai une instance de XP avec 2 users. Je voudrais être sûr qu'il y ait une
étanchéité totale (données et programmes) pour éviter que les programmes
lancés par l'un (et qui peuvent rester actifs après un logoff) pollue les
données de l'autres et vice-versa.
J'ai également déclaré le répertoire Document & Settings dossiers privé
pour chaque user mais j'ai des doutes sur la sécurité offerte par XP sur ce
sujet. Est-ce que vous me confirmez que cette procédure est vraiement "safe"
ou bien je dois aller vers un partitionnement de mon DD pour assurer une
vraie étanchéité?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
galida
Le #1115949
Salut.
Je ne sais pas si c'est vraiment safe, mais le partitionnement ne va rien
changer, les liens partent toujours du même endroit (documents and
settings...). Les bons progammes ne mélangent pas les fichiers créés par
l'utilisateur, chacun ses doc, xls, vidéos, musiques..... quand aux profils
utilisateurs du prg.... pas sur que tous soient bien gérés.
Quelqu'un ayant fait des essais va peut-être conntinuer le fil.
--
Daniel - galida
Droopy191
Le #1115946
Bonjour,

j'ai une instance de XP avec 2 users. Je voudrais être sûr qu'il y ait une
étanchéité totale (données et programmes) pour éviter que les programmes
lancés par l'un (et qui peuvent rester actifs après un logoff) pollue les
données de l'autres et vice-versa.


Ca va dépendre du logiciel, principalement si le logiciel sait gérer ses
paramètres par utilisateurs ( c'est de plus en plus le cas ).
Sinon, si pour un paramètre vous dites rouge et votre collègue vert, il
se peut qu'il faille faire un choix.

J'ai également déclaré le répertoire Document & Settings dossiers privé
pour chaque user mais j'ai des doutes sur la sécurité offerte par XP sur ce
sujet. Est-ce que vous me confirmez que cette procédure est vraiement "safe"


Vous parlez de chiffrage EFS ?
Si oui, allez lire cela pour éviter des ennuis futurs
http://www.bellamyjc.org/fr/crypto.html
Lisez en particulier la partie sauvegarde et restauration des certificats.

C'est "safe" si le paramétrage est correct.
Je veux dire que EFS est incassable en lui meme mais qu'on peut avoir
volontairement autorisé l'accès à d'autres utilisateurs ( par exemple,
l'administrateur, les agents de récupération )

Si non, il y a tjs moyen d'accéder aux fichiers.
C'est plus ou moins facile suivant comment sont configurés les comptes
et la machine, mais c'est possible.

Si vous souhaitez seulement cryptez quelques fichiers, vous pouvez aussi
regarder du coté de Truecrypt:
http://www.truecrypt.org/

ou bien je dois aller vers un partitionnement de mon DD pour assurer une
vraie étanchéité?
Le partitionnement ne change rien.




--
DR

Eric
Le #1115524
Merci pour vos réponses. Je pensai éventuellement à faire un dual boot (2
instances d'XP) sur le même disque avec 2 partitions (ou alors un boot XP et
un boot Vista). Qu'est-ce que vous en pensez ?


Bonjour,

j'ai une instance de XP avec 2 users. Je voudrais être sûr qu'il y ait une
étanchéité totale (données et programmes) pour éviter que les programmes
lancés par l'un (et qui peuvent rester actifs après un logoff) pollue les
données de l'autres et vice-versa.


Ca va dépendre du logiciel, principalement si le logiciel sait gérer ses
paramètres par utilisateurs ( c'est de plus en plus le cas ).
Sinon, si pour un paramètre vous dites rouge et votre collègue vert, il
se peut qu'il faille faire un choix.

J'ai également déclaré le répertoire Document & Settings dossiers privé
pour chaque user mais j'ai des doutes sur la sécurité offerte par XP sur ce
sujet. Est-ce que vous me confirmez que cette procédure est vraiement "safe"


Vous parlez de chiffrage EFS ?
Si oui, allez lire cela pour éviter des ennuis futurs
http://www.bellamyjc.org/fr/crypto.html
Lisez en particulier la partie sauvegarde et restauration des certificats.

C'est "safe" si le paramétrage est correct.
Je veux dire que EFS est incassable en lui meme mais qu'on peut avoir
volontairement autorisé l'accès à d'autres utilisateurs ( par exemple,
l'administrateur, les agents de récupération )

Si non, il y a tjs moyen d'accéder aux fichiers.
C'est plus ou moins facile suivant comment sont configurés les comptes
et la machine, mais c'est possible.

Si vous souhaitez seulement cryptez quelques fichiers, vous pouvez aussi
regarder du coté de Truecrypt:
http://www.truecrypt.org/

ou bien je dois aller vers un partitionnement de mon DD pour assurer une
vraie étanchéité?
Le partitionnement ne change rien.




--
DR




Jean-Claude BELLAMY
Le #1115519
"Eric" news:
Bonjour,

j'ai une instance de XP avec 2 users. Je voudrais être sûr qu'il y ait une
étanchéité totale (données et programmes) pour éviter que les programmes
lancés par l'un (et qui peuvent rester actifs après un logoff) pollue les
données de l'autres et vice-versa.
J'ai également déclaré le répertoire Document & Settings dossiers privé
pour chaque user
Fatigue totalement INUTILE !

Par défaut, chaque sous dossier de "Document & Settings" (exception faite
de "All users" et "Default User") est strictement réservé au compte
concerné, qui y a le contrôle total!
Les seuls autres comptes y ayant accès sont :
- les comptes administrateurs
- le compte SYSTEM

Donc si tes comptes ne font pas partie du groupe des "Administrateurs", il
n'y a aucun risque pour que l'un ait accès aux fichiers d'un autre.
NB: cela ne servirait strictement à rien à retirer les admins de la LCA, vu
tout admin a le pouvoir (par essence même d'un compte admin) de s'attribuer
tous les droits sur ce qu'il veut !


mais j'ai des doutes sur la sécurité offerte par XP sur ce sujet.
Doutes totalement infondés !


Sauf si un utilisateur
- reboote la machine
- puis insère un CD de Peter Nordhal
(http://www.bellamyjc.org/fr/pwdnt.html)
- puis efface le password du compte Administrateur
- puis ouvre une session sous ce compte
- puis s'approprie chaque sous-dossier de "Documents and settings"
- puis modifie la liste de contrôle d'accès des fichiers

Est-ce que vous me confirmez que cette procédure est vraiement "safe"
OUI (sauf la manip de "hors-la-loi" ci dessus, mais je ne pense pas que tu

vives avec des gangsters ! ;-) )

ou bien je dois aller vers un partitionnement de mon DD pour assurer une
vraie étanchéité?
AUCUN INTÉRÊT et car totalement INUTILE !

Si un "hacker" accède à des fichiers avec la manip ci-dessus, il se
contrefiche qu'ils soient dans une autre partition !

La seule sécurité totale est de chiffrer les fichiers avec EFS (disponible
uniquement sous XP PRO) ou avec un outil du style "TrueCrypt" ou
"SecurityBox"
http://www.bellamyjc.org/fr/crypto.html
http://www.truecrypt.org/
http://www.arkoon.net/-Security-BOX-R-.html


Mais attention : le chiffrement exige le plus grand soin et beaucoup de
méthode !
En particulier la sauvegarde des clefs ou certificats !
Un reformatage du système sans sauvearde des certfiicats -> fichiers
chiffrés par EFS définitivement perdus !


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Le Yéti
Le #1115517
Bonjour,

j'ai une instance de XP avec 2 users. Je voudrais être sûr qu'il y ait une
étanchéité totale (données et programmes) pour éviter que les programmes
lancés par l'un (et qui peuvent rester actifs après un logoff) pollue les
données de l'autres et vice-versa.
J'ai également déclaré le répertoire Document & Settings dossiers privé
pour chaque user mais j'ai des doutes sur la sécurité offerte par XP sur ce
sujet. Est-ce que vous me confirmez que cette procédure est vraiment "safe"
ou bien je dois aller vers un partitionnement de mon DD pour assurer une
vraie étanchéité ?


"galida" c'est vraiment safe, mais le partitionnement ne va rien changer, les liens
partent toujours du même endroit (documents and settings...). Les bons
programmes ne mélangent pas les fichiers créés par l'utilisateur, chacun
ses
doc, xls, vidéos, musiques..... quand aux profils utilisateurs du prg....
pas sur que tous soient bien gérés.
Quelqu'un ayant fait des essais va peut-être continuer le fil.

Daniel - galida



Salut, je suis entièrement de l'avis ci-dessus.

"étanchéité totale" : Trop peu de programmes sont écrits permettant
une "réelle" séparation (des données et paramètres) selon l'utilisateur
en cours. De plus, un XP Home est loin d'être performant pour ce genre
de souhait (tu n'as pas précisé quel Windows XP). Si les utilisateurs
sont 'administrateur', ils pourront de TOUTE façon aller bidouiller et
regarder/s'approprier et mettre le nez dans les "affaires" de l'autre.

En dehors d'accéder à ses programmes et données stockés sur un
"vrai" serveur (un appareil dont c'est la fonction ), il n'y a rien (à ma
connaissance) qui permette une telle "étanchéité totale"...

Ni partitions, ni droits (ou à très fouiller sérieusement) ne feront que
des utilisateurs ayant accès "physiquement" à un appareil, ne pourront
pas y faire ce qu'ils veulent : question de compétences.

N'oublions tout même pas que notre "informatique domestique", n'a
pas le même coût que l'informatique professionnelle à laquelle on
peut demander "un peu plus".

Amicalement, Tonio :-)

Droopy191
Le #1115099
Merci pour vos réponses. Je pensai éventuellement à faire un dual boot (2
instances d'XP) sur le même disque avec 2 partitions (ou alors un boot XP et
un boot Vista). Qu'est-ce que vous en pensez ?



Oui si vous voulez, mais je ne vois pas en quoi cela répond mieux à la
question initiale.

On peut imaginer de masquer un système par rapport à l'autre mais cela
n'apporte pas plus de sécurité qu'une gestion des droits correcte.

Si vous cherchez juste à séparer les données et les utilisateurs,
Windows par défaut le fait bien:
- créer un compte par utilisateur ( sans les droits admin)
- utiliser des logiciels récents qui ne nécessitent pas les droits admin
pour tourner et qui gérent les paramètres par utilisateur.
C'est amha largement suffisant pour une utilisation normale.


Quoi que vous fassiez, si vous ne chiffez pas les données, un
utilisateur motivé pourra accéder aux données des autres.
C'est pas forcement simple et cela sort largement du cadre d'une
utilisation normale d'un pc ( d'entreprise par ex ), par ex:
- changer le mot de passe admin ( cf réponse de JC Bellamy )
- live cd
- transfert du disque dur sur une autre machine

Enfin je vous donne ma facon de faire sur mes machines:
- mes documents sont non accessibles aux autres utilisateurs en
utilisant les droits ntfs ( par ex, mes courriers, les photos de famille
) ce n'est pas critique sans je veuille pour autant donner un accès libre.
- un conteneur truecrypt de qq Mo pour les données critiques ( par ex,
mot de passe ...)


--
DR

Alain Naigeon
Le #1114667
"Le Yéti"
"étanchéité totale" : Trop peu de programmes sont écrits permettant
une "réelle" séparation (des données et paramètres) selon l'utilisateur
en cours. De plus, un XP Home est loin d'être performant pour ce genre
de souhait (tu n'as pas précisé quel Windows XP). Si les utilisateurs
sont 'administrateur',
[...]


Mais ça c'est pas de la faute à XP !!!

--

Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - - Oberhoffen/Moder, France

Roger LEDIG
Le #1114522
Bonjour

Drôle de question en quoi un 1 et un 0 se mélange. et cela va loin en
suite.

Chaque chose à sa place.

Cordialement

Roger

"Eric" discussion :
Bonjour,

j'ai une instance de XP avec 2 users. Je voudrais être sûr qu'il y ait une
étanchéité totale (données et programmes) pour éviter que les programmes
lancés par l'un (et qui peuvent rester actifs après un logoff) pollue les
données de l'autres et vice-versa.
J'ai également déclaré le répertoire Document & Settings dossiers privé
pour chaque user mais j'ai des doutes sur la sécurité offerte par XP sur
ce
sujet. Est-ce que vous me confirmez que cette procédure est vraiement
"safe"
ou bien je dois aller vers un partitionnement de mon DD pour assurer une
vraie étanchéité?


Publicité
Poster une réponse
Anonyme