filtrage adresse mac sous SBS 2003

Le
PhilR
Bonjour,

Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non
déclaré (par adresse mac) à avoir acces aux ressources et données du réseau.
Est-il possible de faire cela avec SBS 2003 et comment ?
Ou faut-il passer obligatoirement par switch manageable qui comprend cette
option.

Merci de votre réponse.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
GG [MVP]
Le #498837
Bonjour,

Dans un soucis de sécurité evident, je souhaiterais interdire tout PC
non déclaré (par adresse mac)


Cela ne sert strictememt a rien la securite sur adresse mac complete
depassee
avec le driver SMAC on peut faire ce que l'on veut.

Est-il possible de faire cela avec SBS 2003 et comment ?


travailler sur le serveur DHCP du SBS tout en reservation.

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs

PhilR
Le #498836

Bonjour,

Dans un soucis de sécurité evident, je souhaiterais interdire tout PC
non déclaré (par adresse mac)


Cela ne sert strictememt a rien la securite sur adresse mac complete
depassee
avec le driver SMAC on peut faire ce que l'on veut.

Est-il possible de faire cela avec SBS 2003 et comment ?


travailler sur le serveur DHCP du SBS tout en reservation.

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs


Bonjour et merci pour la réponse.

J'ai fait mes reservation dans DHCP et je n'attribue que les adresses
reservés. Donc en auto pas de pb. Par contre si je rendre l'Ip en fixe sur un
portable non déclaré j'accède au réseau.
Ce qu'on me demande, c'est que les utilisateurs du domaine puisse tout faire
sur le dossier TRAVAIL sauf les sortir de l'entreprise.
J'ai donc sécurisé au mieux les PC du domaine. Mais si un utilisateur vient
avec un portable perso, rentre l'Ip de son PC Pro sur son portable et le
branche à sa place, en tapant le chemin réseau du dossier il y accede et
s'identifie puisqu'il est utilisateur du domaine et là il fait ce qu'il veut.
D'ou mon besoin de filtrer les PC et à part par adresse mac je ne voit pas
très bien comment.
Merci d'avance


GG [MVP]
Le #498835
Bonjour,

en tapant le chemin réseau du
dossier il y accede et s'identifie puisqu'il est utilisateur du
domaine et là il fait ce qu'il veut.


Oui puisque la sécurité MS est basé sur du User Level et surtout
pas sur du Share Level.
En éteignant sa machine du domaine et en configurant l'adresse
IP sur la machine espionne c'est la même chose, donc essayer
de faire de la sécurité avec des adresses Mac et Adresse IP
n'est pas la bonne solution.
Par ailleurs si vous avez un tel besoin de securité, il ne faut surtout
pas faire du partage de fichier mais faire de l'appplication métier qui
vous protége un peu mieux les données que les partages de fichiers
ouverts a tous.

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs

Emmanuel Dreux [MS]
Le #498833
Bonsoir,

d'après la description, ce que vous avez besoin, c'est de l'authentification
ipsec par certificat machine.
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se
connecter au serveur.

Sinon, êtes vous sûrs que vos users n'ont pas d'autre moyen de faire fuir
les docs ( upload ftp, mail, usb, cdrom etc)...

--
Cordialement,

Emmanuel Dreux.

"PhilR" news:
Bonjour,

Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non
déclaré (par adresse mac) à avoir acces aux ressources et données du
réseau.
Est-il possible de faire cela avec SBS 2003 et comment ?
Ou faut-il passer obligatoirement par switch manageable qui comprend cette
option.

Merci de votre réponse.


GG [MVP]
Le #498832
Bonjour,

Ainsi une machine qui ne possède pas de certificat adéquat ne pourra
pas se connecter au serveur.


Et quand un utilisateur s'installe le certificat un vrai bonheur aussi, non
? :)

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs

Emmanuel Dreux [MS]
Le #498830
Hello,

tu veux dire si un utilisateur essaie d'installer un certificat machine pour
se faire passer pour un autre?

A moins d'êter administrateur du domaine, ce n'est pas possible.
En Windows 2003, avec Ipsec, tu peux faire de l'authentification Kerberos
( compte machine du domaine) ou de l'authentification par certificat (
certificat mappé sur le compte machine).
Donc, à moins d'être administrateur du domaine, tu ne pourras pas de faire
passer pour une machine autorisée.

Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this
computer from the network, il est possible de gérer des listes d'ordinateurs
autorisés à accéder au serveur en question ( autoriser toutes les machines
du domain, un seul ou un groupe).

Celà correspond au besoin exprimé par PhilR.

A+,

--
Cordialement,

Emmanuel Dreux.

"GG [MVP]" news:
Bonjour,

Ainsi une machine qui ne possède pas de certificat adéquat ne pourra
pas se connecter au serveur.


Et quand un utilisateur s'installe le certificat un vrai bonheur aussi,
non ? :)

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs




GG [MVP]
Le #505969
Bonjour,

A moins d'êter administrateur du domaine, ce n'est pas possible.


Sauf que les moitie des patron de PME sont admin du domaine et
quuand ils vont chercher leur mails sur un compte POP externe en
sniffant tu as toutes les chances de recuperer le mot de passe du
compte du patron qui est admin et "roule ma poule" comme on dit :)

Un fois authentifié en IPSEC, grace au stratégies access (ou deny)
this computer from the network, il est possible de gérer des listes
d'ordinateurs autorisés à accéder au serveur en question ( autoriser
toutes les machines du domain, un seul ou un groupe).


Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte
admin du domaine traine entre toutes les mains. :)

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs

GG [MVP]
Le #505968
Bonjour,

Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte
admin du domaine traine entre toutes les mains. :)


J"ai même vu des domaines ou tous les utilisateurs étaient admin
du domaine et sans mot de passe et installer par un partenaire
Microsoft Gold. :)
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs

Emmanuel Dreux [MS]
Le #505890
C'est du vécu ? :-)


"GG [MVP]" news:
Bonjour,

A moins d'êter administrateur du domaine, ce n'est pas possible.


Sauf que les moitie des patron de PME sont admin du domaine et
quuand ils vont chercher leur mails sur un compte POP externe en
sniffant tu as toutes les chances de recuperer le mot de passe du
compte du patron qui est admin et "roule ma poule" comme on dit :)

Un fois authentifié en IPSEC, grace au stratégies access (ou deny)
this computer from the network, il est possible de gérer des listes
d'ordinateurs autorisés à accéder au serveur en question ( autoriser
toutes les machines du domain, un seul ou un groupe).


Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte
admin du domaine traine entre toutes les mains. :)

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs




GG [MVP]
Le #505884
Salut,

C'est du vécu ? :-)


Oh !!! que oui, et ce n'est pas triste parfois. :(
Si tu veux venir un jour découvrir la vraie vie pas
de soucis, je peux t'inviter. :)

--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs

Publicité
Poster une réponse
Anonyme