modifs BDR pour accepter mac sur domaine => cela craint ?

Le
loutox
Bonjour à tous,
Nous avons 1 serveur w2003 SR2 et 20 clients xp.
Suite à l'arrivée de deux macs, un prestataire est venu faire des configs
afin que ces machines puissent acceder aux dossiers partagés avec les
autorisations AD.

Pour ce il a modifié des entrées de la base de registre relatives à la
signature des paquets :
Cela se trouve dans
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
la valeur "EnableSeccuritySignature" a été passée de 1 à 0
et "RequireSecuritySignature" a été passé de 1 à 0.

Savez vous quel impact concret cela a-t-il sur la sécurité ?

merci
Loutox
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nina Popravka
Le #710598
On Wed, 7 Mar 2007 07:20:55 +0100, "loutox" wrote:

Savez vous quel impact concret cela a-t-il sur la sécurité ?


C'est hypergrave, les paquets n'étant plus signés, tu es désormais
vulnérable à une attaque man in the middle sur ton LAN.
Bon, d'un autre côté, tu as autant de chances d'avoir une attaque man
in the middle sur ton LAN que la terre de se faire détruire par un
astéroïde géant cet après-midi...
Donc aucun souci :-)
--
Nina

loutox
Le #710597
Salut et merci de ta réponse.
Bon, faut comprendre le debut ou la fin du message ?

Man in the middle, ça a la cote comme terme, c'est le terme à la mode pour
dire cheval de troie ?

avec un acces entrant terminal server depuis le wan, Puis-je dormir
tranquille ou faut-il monter la garde ?

Le pare-feu qui filtre mes entrées depuis le wan compense-t-il cette manip
sur la BDR ?

le temps sera-t-il beau au printemps ? ;)

Bonne journée
Loutox

"Nina Popravka" a écrit dans le message de news:

On Wed, 7 Mar 2007 07:20:55 +0100, "loutox" wrote:

Savez vous quel impact concret cela a-t-il sur la sécurité ?


C'est hypergrave, les paquets n'étant plus signés, tu es désormais
vulnérable à une attaque man in the middle sur ton LAN.
Bon, d'un autre côté, tu as autant de chances d'avoir une attaque man
in the middle sur ton LAN que la terre de se faire détruire par un
astéroïde géant cet après-midi...
Donc aucun souci :-)
--
Nina



Nina Popravka
Le #712170
On Wed, 7 Mar 2007 09:28:19 +0100, "loutox" wrote:

Man in the middle, ça a la cote comme terme, c'est le terme à la mode pour
dire cheval de troie ?
Rien à voir...


avec un acces entrant terminal server depuis le wan, Puis-je dormir
tranquille ou faut-il monter la garde ?
Le pare-feu qui filtre mes entrées depuis le wan compense-t-il cette manip
sur la BDR ?
Aucune relation. Cette histoire de signature ne concerne que les

communications sur le LAN, et plus précisément SMB.

le temps sera-t-il beau au printemps ? ;)
Fait plutôt beau aujourd'hui, et la modif faite ne nuit en rien à ta

sécurité.
:-)
--
Nina

loutox
Le #712166
Alors c'est cool.
Merci et bonne bronzette si le temps le permet.

"Nina Popravka" a écrit dans le message de news:

On Wed, 7 Mar 2007 09:28:19 +0100, "loutox" wrote:

Man in the middle, ça a la cote comme terme, c'est le terme à la mode pour
dire cheval de troie ?
Rien à voir...


avec un acces entrant terminal server depuis le wan, Puis-je dormir
tranquille ou faut-il monter la garde ?
Le pare-feu qui filtre mes entrées depuis le wan compense-t-il cette manip
sur la BDR ?
Aucune relation. Cette histoire de signature ne concerne que les

communications sur le LAN, et plus précisément SMB.

le temps sera-t-il beau au printemps ? ;)
Fait plutôt beau aujourd'hui, et la modif faite ne nuit en rien à ta

sécurité.
:-)
--
Nina



kurtz_le_pirate
Le #711740
"loutox" 45ee5997$0$7436$
Bonjour à tous,
Nous avons 1 serveur w2003 SR2 et 20 clients xp.
Suite à l'arrivée de deux macs, un prestataire est venu faire des
configs afin que ces machines puissent acceder aux dossiers partagés
avec les autorisations AD.

Pour ce il a modifié des entrées de la base de registre relatives à
la signature des paquets :
Cela se trouve dans
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
la valeur "EnableSeccuritySignature" a été passée de 1 à 0
et "RequireSecuritySignature" a été passé de 1 à 0.


tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
pour ça.


Savez vous quel impact concret cela a-t-il sur la sécurité ?


vu le nom des clés, ça a forcément un impact.


--
klp

loutox
Le #711224
Salut

"kurtz_le_pirate"
"loutox" 45ee5997$0$7436$
Bonjour à tous,
Nous avons 1 serveur w2003 SR2 et 20 clients xp.
Suite à l'arrivée de deux macs, un prestataire est venu faire des configs
afin que ces machines puissent acceder aux dossiers partagés avec les
autorisations AD.

Pour ce il a modifié des entrées de la base de registre relatives à la
signature des paquets :
Cela se trouve dans
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
la valeur "EnableSeccuritySignature" a été passée de 1 à 0
et "RequireSecuritySignature" a été passé de 1 à 0.


tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry pour
ça.


Savez vous quel impact concret cela a-t-il sur la sécurité ?



Ben il parait que c'est pour les attaques "man in the middle" qui ont lieu
en LAN smb.

Les mac sont tout récents, et lorsque windows remet les clefs à leur valeur
initiale ( il le fait tout seul) alors les macs ne peuvent plus se
connecter.

Bizarre que ça le fasse bien chez toi et pas chez moi !


vu le nom des clés, ça a forcément un impact.


--
klp




Nina Popravka
Le #711223
On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"

tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
pour ça.


On te parle d'un problème entre * VISTA* et Samba.
Si t'as pas de Vista, t'es pas concerné.
--
Nina

Nina Popravka
Le #711222
On Mon, 12 Mar 2007 20:32:00 +0100, "loutox" wrote:

Les mac sont tout récents, et lorsque windows remet les clefs à leur valeur
initiale ( il le fait tout seul)


Et la marmotte ?
--
Nina

Loutox
Le #710989
Marmotte ?
vista ???

allo ici c'est du W2003 R2

Petite question en passant :

j'ai fait un fichier .cmd qui appelle un .reg afin de modifier ma BDR
Le probleme est que cette commande necessite de valider une boite de
dialogue.
Y a-t-il une ruse en ligne de commande pour eviter cette intervention
manuelle ?

PS : les macs me les brisent un peu.

@+
Loutox


"Nina Popravka" a écrit dans le message de news:

On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"

tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
pour ça.


On te parle d'un problème entre * VISTA* et Samba.
Si t'as pas de Vista, t'es pas concerné.
--
Nina



Jonathan BISMUTH
Le #710983
Bonjour,

Mes excuses pour prendre la conversation au milieu (à la fin?)

Soyons clair, la clé "EnableSecuritySignature" DOIT rester à 1, car elle
permet aux autres postes que tes MAC de s'authentifier de manière secure.
Cette clé n'interdit pas aux clients ne sachant pas gérer SMB d'accéder aux
dossiers partagés.

C'est la clé "RequireSecuritySignature" qui force les connexions et que tu
devrais ou non passer à 0.

Soyons clair, cette modification est plus que discutable car, en se référant
ici : http://support.microsoft.com/kb/823659, on trouve les informations
suivantes :

Remarque Dans certains serveurs CIFS tiers tels que les anciennes versions
de Samba, vous ne pouvez pas utiliser de mots de passe chiffrés..Les clients
suivants sont incompatibles avec le paramètre Serveur réseau Microsoft :
communications signées numériquement (toujours) :
. Clients Mac OS X (Apple Computer, Inc.)
. Clients réseau Microsoft MS-DOS (par exemple Microsoft LAN Manager)
. Clients Microsoft Windows pour Workgroups
. Clients Microsoft Windows 95 sur lesquels le client DS n'est pas
installé
. Ordinateurs Microsoft Windows NT 4.0 sans Service Pack 3 (ni version
ultérieure) installé
. Clients CIFS Novell Netware 6
. Clients SMB SAMBA ne prenant pas en charge la signature SMB


Je ne sais pas si depuis la fiche, le SMB des MAC a été amélioré mais garde
en tête, pour avoir fait un certain nombre d'audit de sécurité, qu'il y a
*légèrement* plus de chances de se prendre une attaque MITM qu'un astéroide
géant, et que n'importe quel script kiddie intégrant dans sa boite à outils
du sniff de base te sera éternellement reconnaissant.

Maintenant tant que tu agis en connaissant les risques de ton problème, je
laisse à ton choix perso la décision de scier la branche sur laquelle tu es
assis....

je te renvoie ici pour plus d'informations :
http://support.microsoft.com/kb/887429

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Loutox" <babar> a écrit dans le message de news:
45f5ccfb$0$28523$
Marmotte ?
vista ???

allo ici c'est du W2003 R2

Petite question en passant :

j'ai fait un fichier .cmd qui appelle un .reg afin de modifier ma BDR
Le probleme est que cette commande necessite de valider une boite de
dialogue.
Y a-t-il une ruse en ligne de commande pour eviter cette intervention
manuelle ?

PS : les macs me les brisent un peu.

@+
Loutox


"Nina Popravka" a écrit dans le message de news:

On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"

tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
pour ça.


On te parle d'un problème entre * VISTA* et Samba.
Si t'as pas de Vista, t'es pas concerné.
--
Nina







Publicité
Poster une réponse
Anonyme