SBS 2003 R2 / stratégie / Update / Firewall

Le
Prm
Bonjour,

Pour des raisons pratique, je souhaite que les stratégies SBS concernant le
Firewall et l'Update ne soient pas appliquées sur mon poste (XP SP2).
A/ Je souhaite pouvoir modifier librement l'activation et la desactivation
de mon firewall (qui est grisée en ce moement) de mon poste
B/ Je souhaite pouvoir modifier le windows update (egalement grisé) de mon
poste

Quelle est la manière de procéder / GPO ?

Merci

Cdt
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
GG [MVP]
Le #7632061
Bonjour,

Pour des raisons pratique, je souhaite que les stratégies SBS
concernant le Firewall et l'Update ne soient pas appliquées sur mon
poste (XP SP2). A/ Je souhaite pouvoir modifier librement l'activation et
la
desactivation de mon firewall (qui est grisée en ce moement) de mon
poste



Si vous avez installé correctement votre SBS, c'est la stratégie numéro 1
qu'il faut modifier
Configuration d'ordinateur
Modèles d'administration
Composant Windows / Centre de sécurité
Réseau/Connexion reseau/Pare-feu
Windows/Profil du domaine
Le premier parametre "Pare-feu Windows" Désactivé"

Il y a aussi le profil standard pour le mode déconencté du
reseau SBS mais c'est une belle conceté comme dit JCB, Microsoft
essaie de vous protéger correctement mais vous souhaitez vous mettre
dans le mur apres tout ... :(

B/ Je souhaite pouvoir modifier le windows update (egalement grisé)
de mon poste



Là c'est la stratégie 9 et 10 la stratégie des stations et la stratégie
commune,
C'est toujours dans :
Configuration Ordinateur
Modèle d'administration
Composant Windows / Windows Update

mais la aussi, rien de pire qu'une station qui n'est pas a jour mais bon
c'est
juste mon avis. :(

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/
Jeff
Le #7632051
On Wed, 28 Feb 2007 12:57:40 +0100, "Prm" wrote:

Bonjour,

Pour des raisons pratique, je souhaite que les stratégies SBS concernant le
Firewall et l'Update ne soient pas appliquées sur mon poste (XP SP2).
A/ Je souhaite pouvoir modifier librement l'activation et la desactivation
de mon firewall (qui est grisée en ce moement) de mon poste
B/ Je souhaite pouvoir modifier le windows update (egalement grisé) de mon
poste

Quelle est la manière de procéder / GPO ?

Merci

Cdt



Bonjour!

Mais quelle sont ces (bonnes) raisons pratiques que vous invoquez?

On peut faire beaucoup de choses avec les GPO en créant des OU et en
appliquant les stratégies modifiées au bon endroit. Mais...

Vous n'auriez pas SBS premium avec ISA Server par hasard? Car le
client pare-feu ISA provoque la désactivation du pare-feu windows
(grisé). Dans ce cas, les manips pare-feu seraient à faire sur ISA.

Deuxio, c'est un SUS client que vous avez, pas le Windows update
classique, dont le contrôle est effectivement désactivé (grisé aussi).
Que voulez vous faire exactement? Désactiver les mises à jour auto,
c'est ouvrir grand votre réseau aux menaces de l'extérieur.

Tertio, pour des tests de ce genre, mettre un système dans une DMZ
serait tout indiqué.

Jeff

Jeff est aussi sur http://sbsfr.free.fr/forums
Prm
Le #7632031
Merci pour les réponses !

|| Mais quelle sont ces (bonnes) raisons pratiques que vous invoquez?
Une machine outil (qui pose des composants CMS) doit se connecter
régulièrement sur la machine XP via FTP en actif (les ports changent)
1/ Le constructeur n'assure le support de l'ensemble Machine outil <-> XP si
et seulement si
1 - Le firewall XP SP2 n'est pas actif (pré requis)
2 - Les mises a jour auto sont désactivés (je souhaite donc que les mises a
jour soent "excluent" de la stratégies SBS"

La machine doit cepenant de sonnecter sur le site du contruteur de la
machine pour télécharger des librairies (via SSL)

Voila les raisons qui sont donc ce quelles sont !

Vous me direz que je n'avais qu'a pas intégrer la machine au domaine, mais
j'ai plus ou moins été contraint pour :
Utiliser les imprimantes du serveur d'impression
Faire des scripts de sauvegarde avec le serveur

A bientot

Cdt

"Jeff"
On Wed, 28 Feb 2007 12:57:40 +0100, "Prm" wrote:

Bonjour,

Pour des raisons pratique, je souhaite que les stratégies SBS concernant
le
Firewall et l'Update ne soient pas appliquées sur mon poste (XP SP2).
A/ Je souhaite pouvoir modifier librement l'activation et la desactivation
de mon firewall (qui est grisée en ce moement) de mon poste
B/ Je souhaite pouvoir modifier le windows update (egalement grisé) de mon
poste

Quelle est la manière de procéder / GPO ?

Merci

Cdt



Bonjour!

Mais quelle sont ces (bonnes) raisons pratiques que vous invoquez?

On peut faire beaucoup de choses avec les GPO en créant des OU et en
appliquant les stratégies modifiées au bon endroit. Mais...

Vous n'auriez pas SBS premium avec ISA Server par hasard? Car le
client pare-feu ISA provoque la désactivation du pare-feu windows
(grisé). Dans ce cas, les manips pare-feu seraient à faire sur ISA.

Deuxio, c'est un SUS client que vous avez, pas le Windows update
classique, dont le contrôle est effectivement désactivé (grisé aussi).
Que voulez vous faire exactement? Désactiver les mises à jour auto,
c'est ouvrir grand votre réseau aux menaces de l'extérieur.

Tertio, pour des tests de ce genre, mettre un système dans une DMZ
serait tout indiqué.

Jeff

Jeff est aussi sur http://sbsfr.free.fr/forums


Jeff
Le #7632021
On Wed, 28 Feb 2007 21:36:32 +0100, "Prm" wrote:

Merci pour les réponses !

|| Mais quelle sont ces (bonnes) raisons pratiques que vous invoquez?
Une machine outil (qui pose des composants CMS) doit se connecter
régulièrement sur la machine XP via FTP en actif (les ports changent)
1/ Le constructeur n'assure le support de l'ensemble Machine outil <-> XP si
et seulement si
1 - Le firewall XP SP2 n'est pas actif (pré requis)
2 - Les mises a jour auto sont désactivés (je souhaite donc que les mises a
jour soent "excluent" de la stratégies SBS"

La machine doit cepenant de sonnecter sur le site du contruteur de la
machine pour télécharger des librairies (via SSL)

Voila les raisons qui sont donc ce quelles sont !

Vous me direz que je n'avais qu'a pas intégrer la machine au domaine, mais
j'ai plus ou moins été contraint pour :
Utiliser les imprimantes du serveur d'impression
Faire des scripts de sauvegarde avec le serveur

A bientot

Cdt


Intéressant ça, les machines outils ont la cervelle qui enfle!

Ceci dit, ont sort de la problèmatique SBS. Mais vous auriez intéret à
réfléchir pour mettre en place une ségrégation stricte entre le réseau
protégé et sécurisé et un autre à moindre sécurité (pare-feu, vlan,
etc...) . La sécurité ne tient que par le maillon le plus faible.

C'est un drole votre fournisseur. Si vous laissez sur le réseau un
système sans les correctifs pour les failles criiques d'Internet
explorer, si votre PC devient un zombie, et qu'il se met a
redistribuer du spam, voire pire, qui va etre responsable pénalement?

Sans préjuger du détail qui tue, il est tout à fait possible pour un
PC hors du domaine d'utiliser un serveur d'impression ou certaines
ressources d'un serveur.

Jeff

Jeff est aussi sur http://sbsfr.free.fr/forums
GG [MVP]
Le #7632011
> Une machine outil (qui pose des composants CMS) doit se connecter
régulièrement sur la machine XP via FTP en actif (les ports changent)
1/ Le constructeur n'assure le support de l'ensemble Machine outil
<-> XP si et seulement si
1 - Le firewall XP SP2 n'est pas actif (pré requis)
2 - Les mises a jour auto sont désactivés (je souhaite donc que les
mises a jour soent "excluent" de la stratégies SBS"

La machine doit cepenant de sonnecter sur le site du contruteur de la
machine pour télécharger des librairies (via SSL)

Voila les raisons qui sont donc ce quelles sont !

Vous me direz que je n'avais qu'a pas intégrer la machine au domaine,
mais j'ai plus ou moins été contraint pour :
Utiliser les imprimantes du serveur d'impression
Faire des scripts de sauvegarde avec le serveur



Et bien vous configurez une OU spécialement pour elle et vous
lui appliquez une stratégie spéciale pour elle, mais vous ne touchez
pas au stratégie mise en place par MS et vous ne faites pas la
bêtise que vous souhaitez surtout dans une entreprise qui a l'air
de se servir de l'informatique pour vivre ou survivre.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/
GG [MVP]
Le #7632001
Bonjour Jeff,

C'est un drole votre fournisseur. Si vous laissez sur le réseau un
système sans les correctifs pour les failles criiques d'Internet
explorer, si votre PC devient un zombie, et qu'il se met a
redistribuer du spam, voire pire, qui va etre responsable pénalement?



La moitié de l'industrie si ce n'est plus en France sont dans ce cas là,
Jeff..
Effectivement les responsables dans ce cas là on ne doit pas ou on ne
veut pas les connaitre.

Sans préjuger du détail qui tue, il est tout à fait possible pour un
PC hors du domaine d'utiliser un serveur d'impression ou certaines
ressources d'un serveur.



On peut aussi parfaitement apprendre a se servir des OU et des
stratégies associées pour faire ce qu'il y a a faire.;)

Pour ce qui est des zombies effectivement avec ISA server on
peut parfaitement des identifier avant qu'il fasse du mal a l'interieur
et a l'exterieur du réseau local encore une fois encore faut-il savoir
s'en servir.

Tant que l'on fera croire que savoir se servir d'un SBS en entreprise
c'est simplement savoir faire clic clic avec une souris sans rien apprendre
ou savoir, ce sera comme cela en PME. C'est l'ensemble des directions
qui font comme cela et le discours de Microsoft n'arrange rien, faire croire
qu'en 3 heures on a installé un SBS en exploitation et tout va bien
dans le meilleur des mondes, oui avec un GG ou Jeff qui ont quelques
heures de vol au compteurs mais avec des joueurs qui sortent de leur
Xbox ou de leur PlayStation, (mais ils ne fréquentent pas ce forum),
cela m'étonnerait.

Heureusement ils ne sont pas tous comme cela !!!! :)
--
Cordialement.
GG.
http://sbsfr.free.fr/forums/
Prm
Le #7631971
|| une stratégie spéciale pour elle
Ca me va bien, je vais voir dans ce sens

En ce qui concerne la protection vers/de l'exterieur, j'ai un firewall de
type Zywall35 (Zyxel) avec une config super restrictive
En effet, la fameuse machine n'est autorisée en sortie uniquement vers l'ip
du serveur catalogue et uniquement sur TCP 443

Il ne faut pas oublier que dans l'industrie, c'est la machine outil qui
"coute chere" mais rapporte beaucoup d'argent !!
Rien que la maintenance, c'est 50K? / an --> dans cette optique, j'ai déja
clonné la fameuse machine, qui coute a peine 1500 ? (c'est du spare
strictement identique - > ghost) qui est offline et prete a redamrrer en cas
de PB

Sinon merci pour vos judicieux conseils

A+

Cdt

"GG [MVP]" e1Os$

Une machine outil (qui pose des composants CMS) doit se connecter
régulièrement sur la machine XP via FTP en actif (les ports changent)
1/ Le constructeur n'assure le support de l'ensemble Machine outil
<-> XP si et seulement si
1 - Le firewall XP SP2 n'est pas actif (pré requis)
2 - Les mises a jour auto sont désactivés (je souhaite donc que les
mises a jour soent "excluent" de la stratégies SBS"

La machine doit cepenant de sonnecter sur le site du contruteur de la
machine pour télécharger des librairies (via SSL)

Voila les raisons qui sont donc ce quelles sont !

Vous me direz que je n'avais qu'a pas intégrer la machine au domaine,
mais j'ai plus ou moins été contraint pour :
Utiliser les imprimantes du serveur d'impression
Faire des scripts de sauvegarde avec le serveur



Et bien vous configurez une OU spécialement pour elle et vous
lui appliquez une stratégie spéciale pour elle, mais vous ne touchez
pas au stratégie mise en place par MS et vous ne faites pas la
bêtise que vous souhaitez surtout dans une entreprise qui a l'air
de se servir de l'informatique pour vivre ou survivre.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/



Prm
Le #7631961
Pour info, j'ai changé les droits sur l'executable de IE, de ce fait, il
n'est plus possible de l'executer
J'ai quand même essayé de verrouiller la machine au mieux avec les
contraintes qui me sont imposées

Cdt

"Jeff"
On Wed, 28 Feb 2007 21:36:32 +0100, "Prm" wrote:

Merci pour les réponses !

|| Mais quelle sont ces (bonnes) raisons pratiques que vous invoquez?
Une machine outil (qui pose des composants CMS) doit se connecter
régulièrement sur la machine XP via FTP en actif (les ports changent)
1/ Le constructeur n'assure le support de l'ensemble Machine outil <-> XP
si
et seulement si
1 - Le firewall XP SP2 n'est pas actif (pré requis)
2 - Les mises a jour auto sont désactivés (je souhaite donc que les mises
a
jour soent "excluent" de la stratégies SBS"

La machine doit cepenant de sonnecter sur le site du contruteur de la
machine pour télécharger des librairies (via SSL)

Voila les raisons qui sont donc ce quelles sont !

Vous me direz que je n'avais qu'a pas intégrer la machine au domaine, mais
j'ai plus ou moins été contraint pour :
Utiliser les imprimantes du serveur d'impression
Faire des scripts de sauvegarde avec le serveur

A bientot

Cdt


Intéressant ça, les machines outils ont la cervelle qui enfle!

Ceci dit, ont sort de la problèmatique SBS. Mais vous auriez intéret à
réfléchir pour mettre en place une ségrégation stricte entre le réseau
protégé et sécurisé et un autre à moindre sécurité (pare-feu, vlan,
etc...) . La sécurité ne tient que par le maillon le plus faible.

C'est un drole votre fournisseur. Si vous laissez sur le réseau un
système sans les correctifs pour les failles criiques d'Internet
explorer, si votre PC devient un zombie, et qu'il se met a
redistribuer du spam, voire pire, qui va etre responsable pénalement?

Sans préjuger du détail qui tue, il est tout à fait possible pour un
PC hors du domaine d'utiliser un serveur d'impression ou certaines
ressources d'un serveur.

Jeff

Jeff est aussi sur http://sbsfr.free.fr/forums


Prm
Le #7631951
|| croire qu'en 3 heures on a installé un SBS en exploitation
Je ne le crois pas, il m'a fallu pas moins d'une semaine pour lemettre en
ouvre, et j'ai lu pas mal de choses sur le sujet (entre autre ton forum,
celui de MS + livres)
Je suis loin de tous connaitre, mais je me débrouille plutôt pas mal
(comparé a des serveurs installés pas des SSII dans d'autres entreprises que
je connais...)
En 3 heures, on a juste le temps de "decompresser" les CD sur le disque du
serveur

sans commentaires

A+

"GG [MVP]" %
Bonjour Jeff,

C'est un drole votre fournisseur. Si vous laissez sur le réseau un
système sans les correctifs pour les failles criiques d'Internet
explorer, si votre PC devient un zombie, et qu'il se met a
redistribuer du spam, voire pire, qui va etre responsable pénalement?



La moitié de l'industrie si ce n'est plus en France sont dans ce cas là,
Jeff..
Effectivement les responsables dans ce cas là on ne doit pas ou on ne
veut pas les connaitre.

Sans préjuger du détail qui tue, il est tout à fait possible pour un
PC hors du domaine d'utiliser un serveur d'impression ou certaines
ressources d'un serveur.



On peut aussi parfaitement apprendre a se servir des OU et des
stratégies associées pour faire ce qu'il y a a faire.;)

Pour ce qui est des zombies effectivement avec ISA server on
peut parfaitement des identifier avant qu'il fasse du mal a l'interieur
et a l'exterieur du réseau local encore une fois encore faut-il savoir
s'en servir.

Tant que l'on fera croire que savoir se servir d'un SBS en entreprise
c'est simplement savoir faire clic clic avec une souris sans rien
apprendre
ou savoir, ce sera comme cela en PME. C'est l'ensemble des directions
qui font comme cela et le discours de Microsoft n'arrange rien, faire
croire
qu'en 3 heures on a installé un SBS en exploitation et tout va bien
dans le meilleur des mondes, oui avec un GG ou Jeff qui ont quelques
heures de vol au compteurs mais avec des joueurs qui sortent de leur
Xbox ou de leur PlayStation, (mais ils ne fréquentent pas ce forum),
cela m'étonnerait.

Heureusement ils ne sont pas tous comme cela !!!! :)
--
Cordialement.
GG.
http://sbsfr.free.fr/forums/



GG [MVP]
Le #7631941
Bonjour,

croire qu'en 3 heures on a installé un SBS en exploitation




Je ne le crois pas, il m'a fallu pas moins d'une semaine pour
lemettre en ouvre, et j'ai lu pas mal de choses sur le sujet (entre
autre ton forum, celui de MS + livres)



Je suis rassuré. Pour ma part si je ne transfere pas de compétence
en 3 heures c'est envoyé. :) Maintenant avec transfert de compétence
c'est 3 jours. Mais cela fait depuis 2000 que je traine sur SBS et
pour tout dire je me suis trouvé 7 ans de ma vie derriere la barriere.
Et bientôt peut-être un livre sur la bête, qui n'ira pas loin mais qui
aura le mérite d'exister peut-être en français. Aie !!! j'ai peut-être
dit une bêtise, on ne tape pas sur la tête s'il vous plait, avec ma
calvitie galopante ca fait mal !!! :)

Je suis loin de tous connaitre, mais je me débrouille plutôt pas mal
(comparé a des serveurs installés pas des SSII dans d'autres
entreprises que je connais...)



Je n'en doute pas et votre réflexion est malheureusement extremement
vraie, et c'est TRES TRES malheureux. :( On en souffre car quand on
passe derriere ce genre de personnes, nous sommes vu comme tous
les autres et on est tout aussi suspicieux et parfois il est même difficile
de travailler et il faut toujours apporter la preuve de ce qui doit être
fait dans les règles de l'art et des choix que l'on propose et ca en
devient très fatiguant, mais on s'y fait.

--
Cordialement.
GG.
http://sbsfr.free.fr/forums/
Publicité
Poster une réponse
Anonyme