Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non
déclaré (par adresse mac) à avoir acces aux ressources et données du réseau.
Est-il possible de faire cela avec SBS 2003 et comment ?
Ou faut-il passer obligatoirement par switch manageable qui comprend cette
option.
Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non déclaré (par adresse mac)
Cela ne sert strictememt a rien la securite sur adresse mac complete depassee avec le driver SMAC on peut faire ce que l'on veut.
Est-il possible de faire cela avec SBS 2003 et comment ?
travailler sur le serveur DHCP du SBS tout en reservation.
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
PhilR
Bonjour,
Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non déclaré (par adresse mac)
Cela ne sert strictememt a rien la securite sur adresse mac complete depassee avec le driver SMAC on peut faire ce que l'on veut.
Est-il possible de faire cela avec SBS 2003 et comment ?
travailler sur le serveur DHCP du SBS tout en reservation.
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Bonjour et merci pour la réponse.
J'ai fait mes reservation dans DHCP et je n'attribue que les adresses reservés. Donc en auto pas de pb. Par contre si je rendre l'Ip en fixe sur un portable non déclaré j'accède au réseau. Ce qu'on me demande, c'est que les utilisateurs du domaine puisse tout faire sur le dossier TRAVAIL sauf les sortir de l'entreprise. J'ai donc sécurisé au mieux les PC du domaine. Mais si un utilisateur vient avec un portable perso, rentre l'Ip de son PC Pro sur son portable et le branche à sa place, en tapant le chemin réseau du dossier il y accede et s'identifie puisqu'il est utilisateur du domaine et là il fait ce qu'il veut. D'ou mon besoin de filtrer les PC et à part par adresse mac je ne voit pas très bien comment. Merci d'avance
Bonjour,
Dans un soucis de sécurité evident, je souhaiterais interdire tout PC
non déclaré (par adresse mac)
Cela ne sert strictememt a rien la securite sur adresse mac complete
depassee
avec le driver SMAC on peut faire ce que l'on veut.
Est-il possible de faire cela avec SBS 2003 et comment ?
travailler sur le serveur DHCP du SBS tout en reservation.
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs
Bonjour et merci pour la réponse.
J'ai fait mes reservation dans DHCP et je n'attribue que les adresses
reservés. Donc en auto pas de pb. Par contre si je rendre l'Ip en fixe sur un
portable non déclaré j'accède au réseau.
Ce qu'on me demande, c'est que les utilisateurs du domaine puisse tout faire
sur le dossier TRAVAIL sauf les sortir de l'entreprise.
J'ai donc sécurisé au mieux les PC du domaine. Mais si un utilisateur vient
avec un portable perso, rentre l'Ip de son PC Pro sur son portable et le
branche à sa place, en tapant le chemin réseau du dossier il y accede et
s'identifie puisqu'il est utilisateur du domaine et là il fait ce qu'il veut.
D'ou mon besoin de filtrer les PC et à part par adresse mac je ne voit pas
très bien comment.
Merci d'avance
Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non déclaré (par adresse mac)
Cela ne sert strictememt a rien la securite sur adresse mac complete depassee avec le driver SMAC on peut faire ce que l'on veut.
Est-il possible de faire cela avec SBS 2003 et comment ?
travailler sur le serveur DHCP du SBS tout en reservation.
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Bonjour et merci pour la réponse.
J'ai fait mes reservation dans DHCP et je n'attribue que les adresses reservés. Donc en auto pas de pb. Par contre si je rendre l'Ip en fixe sur un portable non déclaré j'accède au réseau. Ce qu'on me demande, c'est que les utilisateurs du domaine puisse tout faire sur le dossier TRAVAIL sauf les sortir de l'entreprise. J'ai donc sécurisé au mieux les PC du domaine. Mais si un utilisateur vient avec un portable perso, rentre l'Ip de son PC Pro sur son portable et le branche à sa place, en tapant le chemin réseau du dossier il y accede et s'identifie puisqu'il est utilisateur du domaine et là il fait ce qu'il veut. D'ou mon besoin de filtrer les PC et à part par adresse mac je ne voit pas très bien comment. Merci d'avance
GG [MVP]
Bonjour,
en tapant le chemin réseau du dossier il y accede et s'identifie puisqu'il est utilisateur du domaine et là il fait ce qu'il veut.
Oui puisque la sécurité MS est basé sur du User Level et surtout pas sur du Share Level. En éteignant sa machine du domaine et en configurant l'adresse IP sur la machine espionne c'est la même chose, donc essayer de faire de la sécurité avec des adresses Mac et Adresse IP n'est pas la bonne solution. Par ailleurs si vous avez un tel besoin de securité, il ne faut surtout pas faire du partage de fichier mais faire de l'appplication métier qui vous protége un peu mieux les données que les partages de fichiers ouverts a tous.
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Bonjour,
en tapant le chemin réseau du
dossier il y accede et s'identifie puisqu'il est utilisateur du
domaine et là il fait ce qu'il veut.
Oui puisque la sécurité MS est basé sur du User Level et surtout
pas sur du Share Level.
En éteignant sa machine du domaine et en configurant l'adresse
IP sur la machine espionne c'est la même chose, donc essayer
de faire de la sécurité avec des adresses Mac et Adresse IP
n'est pas la bonne solution.
Par ailleurs si vous avez un tel besoin de securité, il ne faut surtout
pas faire du partage de fichier mais faire de l'appplication métier qui
vous protége un peu mieux les données que les partages de fichiers
ouverts a tous.
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs
en tapant le chemin réseau du dossier il y accede et s'identifie puisqu'il est utilisateur du domaine et là il fait ce qu'il veut.
Oui puisque la sécurité MS est basé sur du User Level et surtout pas sur du Share Level. En éteignant sa machine du domaine et en configurant l'adresse IP sur la machine espionne c'est la même chose, donc essayer de faire de la sécurité avec des adresses Mac et Adresse IP n'est pas la bonne solution. Par ailleurs si vous avez un tel besoin de securité, il ne faut surtout pas faire du partage de fichier mais faire de l'appplication métier qui vous protége un peu mieux les données que les partages de fichiers ouverts a tous.
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Emmanuel Dreux [MS]
Bonsoir,
d'après la description, ce que vous avez besoin, c'est de l'authentification ipsec par certificat machine. Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se connecter au serveur.
Sinon, êtes vous sûrs que vos users n'ont pas d'autre moyen de faire fuir les docs ( upload ftp, mail, usb, cdrom etc)...
-- Cordialement,
Emmanuel Dreux.
"PhilR" (sspam)> wrote in message news:
Bonjour,
Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non déclaré (par adresse mac) à avoir acces aux ressources et données du réseau. Est-il possible de faire cela avec SBS 2003 et comment ? Ou faut-il passer obligatoirement par switch manageable qui comprend cette option.
Merci de votre réponse.
Bonsoir,
d'après la description, ce que vous avez besoin, c'est de l'authentification
ipsec par certificat machine.
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se
connecter au serveur.
Sinon, êtes vous sûrs que vos users n'ont pas d'autre moyen de faire fuir
les docs ( upload ftp, mail, usb, cdrom etc)...
--
Cordialement,
Emmanuel Dreux.
"PhilR" <philippe.rousset@adpri.com.(sspam)> wrote in message
news:3B81528D-74B6-4F25-98AF-A1559AC790F5@microsoft.com...
Bonjour,
Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non
déclaré (par adresse mac) à avoir acces aux ressources et données du
réseau.
Est-il possible de faire cela avec SBS 2003 et comment ?
Ou faut-il passer obligatoirement par switch manageable qui comprend cette
option.
d'après la description, ce que vous avez besoin, c'est de l'authentification ipsec par certificat machine. Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se connecter au serveur.
Sinon, êtes vous sûrs que vos users n'ont pas d'autre moyen de faire fuir les docs ( upload ftp, mail, usb, cdrom etc)...
-- Cordialement,
Emmanuel Dreux.
"PhilR" (sspam)> wrote in message news:
Bonjour,
Dans un soucis de sécurité evident, je souhaiterais interdire tout PC non déclaré (par adresse mac) à avoir acces aux ressources et données du réseau. Est-il possible de faire cela avec SBS 2003 et comment ? Ou faut-il passer obligatoirement par switch manageable qui comprend cette option.
Merci de votre réponse.
GG [MVP]
Bonjour,
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se connecter au serveur.
Et quand un utilisateur s'installe le certificat un vrai bonheur aussi, non ? :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Bonjour,
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra
pas se connecter au serveur.
Et quand un utilisateur s'installe le certificat un vrai bonheur aussi, non
? :)
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se connecter au serveur.
Et quand un utilisateur s'installe le certificat un vrai bonheur aussi, non ? :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Emmanuel Dreux [MS]
Hello,
tu veux dire si un utilisateur essaie d'installer un certificat machine pour se faire passer pour un autre?
A moins d'êter administrateur du domaine, ce n'est pas possible. En Windows 2003, avec Ipsec, tu peux faire de l'authentification Kerberos ( compte machine du domaine) ou de l'authentification par certificat ( certificat mappé sur le compte machine). Donc, à moins d'être administrateur du domaine, tu ne pourras pas de faire passer pour une machine autorisée.
Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this computer from the network, il est possible de gérer des listes d'ordinateurs autorisés à accéder au serveur en question ( autoriser toutes les machines du domain, un seul ou un groupe).
Celà correspond au besoin exprimé par PhilR.
A+,
-- Cordialement,
Emmanuel Dreux.
"GG [MVP]" wrote in message news:
Bonjour,
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se connecter au serveur.
Et quand un utilisateur s'installe le certificat un vrai bonheur aussi, non ? :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Hello,
tu veux dire si un utilisateur essaie d'installer un certificat machine pour
se faire passer pour un autre?
A moins d'êter administrateur du domaine, ce n'est pas possible.
En Windows 2003, avec Ipsec, tu peux faire de l'authentification Kerberos
( compte machine du domaine) ou de l'authentification par certificat (
certificat mappé sur le compte machine).
Donc, à moins d'être administrateur du domaine, tu ne pourras pas de faire
passer pour une machine autorisée.
Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this
computer from the network, il est possible de gérer des listes d'ordinateurs
autorisés à accéder au serveur en question ( autoriser toutes les machines
du domain, un seul ou un groupe).
Celà correspond au besoin exprimé par PhilR.
A+,
--
Cordialement,
Emmanuel Dreux.
"GG [MVP]" <news@nospam.assysm.com> wrote in message
news:upQhqFBlHHA.4628@TK2MSFTNGP06.phx.gbl...
Bonjour,
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra
pas se connecter au serveur.
Et quand un utilisateur s'installe le certificat un vrai bonheur aussi,
non ? :)
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs
tu veux dire si un utilisateur essaie d'installer un certificat machine pour se faire passer pour un autre?
A moins d'êter administrateur du domaine, ce n'est pas possible. En Windows 2003, avec Ipsec, tu peux faire de l'authentification Kerberos ( compte machine du domaine) ou de l'authentification par certificat ( certificat mappé sur le compte machine). Donc, à moins d'être administrateur du domaine, tu ne pourras pas de faire passer pour une machine autorisée.
Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this computer from the network, il est possible de gérer des listes d'ordinateurs autorisés à accéder au serveur en question ( autoriser toutes les machines du domain, un seul ou un groupe).
Celà correspond au besoin exprimé par PhilR.
A+,
-- Cordialement,
Emmanuel Dreux.
"GG [MVP]" wrote in message news:
Bonjour,
Ainsi une machine qui ne possède pas de certificat adéquat ne pourra pas se connecter au serveur.
Et quand un utilisateur s'installe le certificat un vrai bonheur aussi, non ? :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
GG [MVP]
Bonjour,
A moins d'êter administrateur du domaine, ce n'est pas possible.
Sauf que les moitie des patron de PME sont admin du domaine et quuand ils vont chercher leur mails sur un compte POP externe en sniffant tu as toutes les chances de recuperer le mot de passe du compte du patron qui est admin et "roule ma poule" comme on dit :)
Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this computer from the network, il est possible de gérer des listes d'ordinateurs autorisés à accéder au serveur en question ( autoriser toutes les machines du domain, un seul ou un groupe).
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte admin du domaine traine entre toutes les mains. :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Bonjour,
A moins d'êter administrateur du domaine, ce n'est pas possible.
Sauf que les moitie des patron de PME sont admin du domaine et
quuand ils vont chercher leur mails sur un compte POP externe en
sniffant tu as toutes les chances de recuperer le mot de passe du
compte du patron qui est admin et "roule ma poule" comme on dit :)
Un fois authentifié en IPSEC, grace au stratégies access (ou deny)
this computer from the network, il est possible de gérer des listes
d'ordinateurs autorisés à accéder au serveur en question ( autoriser
toutes les machines du domain, un seul ou un groupe).
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte
admin du domaine traine entre toutes les mains. :)
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs
A moins d'êter administrateur du domaine, ce n'est pas possible.
Sauf que les moitie des patron de PME sont admin du domaine et quuand ils vont chercher leur mails sur un compte POP externe en sniffant tu as toutes les chances de recuperer le mot de passe du compte du patron qui est admin et "roule ma poule" comme on dit :)
Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this computer from the network, il est possible de gérer des listes d'ordinateurs autorisés à accéder au serveur en question ( autoriser toutes les machines du domain, un seul ou un groupe).
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte admin du domaine traine entre toutes les mains. :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
GG [MVP]
Bonjour,
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte admin du domaine traine entre toutes les mains. :)
J"ai même vu des domaines ou tous les utilisateurs étaient admin du domaine et sans mot de passe et installer par un partenaire Microsoft Gold. :) -- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Bonjour,
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte
admin du domaine traine entre toutes les mains. :)
J"ai même vu des domaines ou tous les utilisateurs étaient admin
du domaine et sans mot de passe et installer par un partenaire
Microsoft Gold. :)
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte admin du domaine traine entre toutes les mains. :)
J"ai même vu des domaines ou tous les utilisateurs étaient admin du domaine et sans mot de passe et installer par un partenaire Microsoft Gold. :) -- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Emmanuel Dreux [MS]
C'est du vécu ? :-)
"GG [MVP]" wrote in message news:
Bonjour,
A moins d'êter administrateur du domaine, ce n'est pas possible.
Sauf que les moitie des patron de PME sont admin du domaine et quuand ils vont chercher leur mails sur un compte POP externe en sniffant tu as toutes les chances de recuperer le mot de passe du compte du patron qui est admin et "roule ma poule" comme on dit :)
Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this computer from the network, il est possible de gérer des listes d'ordinateurs autorisés à accéder au serveur en question ( autoriser toutes les machines du domain, un seul ou un groupe).
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte admin du domaine traine entre toutes les mains. :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
C'est du vécu ? :-)
"GG [MVP]" <news@nospam.assysm.com> wrote in message
news:uvt3CkklHHA.3496@TK2MSFTNGP03.phx.gbl...
Bonjour,
A moins d'êter administrateur du domaine, ce n'est pas possible.
Sauf que les moitie des patron de PME sont admin du domaine et
quuand ils vont chercher leur mails sur un compte POP externe en
sniffant tu as toutes les chances de recuperer le mot de passe du
compte du patron qui est admin et "roule ma poule" comme on dit :)
Un fois authentifié en IPSEC, grace au stratégies access (ou deny)
this computer from the network, il est possible de gérer des listes
d'ordinateurs autorisés à accéder au serveur en question ( autoriser
toutes les machines du domain, un seul ou un groupe).
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte
admin du domaine traine entre toutes les mains. :)
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs
A moins d'êter administrateur du domaine, ce n'est pas possible.
Sauf que les moitie des patron de PME sont admin du domaine et quuand ils vont chercher leur mails sur un compte POP externe en sniffant tu as toutes les chances de recuperer le mot de passe du compte du patron qui est admin et "roule ma poule" comme on dit :)
Un fois authentifié en IPSEC, grace au stratégies access (ou deny) this computer from the network, il est possible de gérer des listes d'ordinateurs autorisés à accéder au serveur en question ( autoriser toutes les machines du domain, un seul ou un groupe).
Tout a fait, je suis d'accord, sauf qu'il ne faut pas qu'un compte admin du domaine traine entre toutes les mains. :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
GG [MVP]
Salut,
C'est du vécu ? :-)
Oh !!! que oui, et ce n'est pas triste parfois. :( Si tu veux venir un jour découvrir la vraie vie pas de soucis, je peux t'inviter. :)
-- Cordialement. GG Un livre sur SBS en français http://sbsfr.mvps.org/livresbs
Salut,
C'est du vécu ? :-)
Oh !!! que oui, et ce n'est pas triste parfois. :(
Si tu veux venir un jour découvrir la vraie vie pas
de soucis, je peux t'inviter. :)
--
Cordialement.
GG
Un livre sur SBS en français
http://sbsfr.mvps.org/livresbs