verouiller un poste administrateur

Le
karamel
Bonjour

J'ai besoin de donner l'acces a un serveur en vnc en login administrateur,
car il y a des programmes en mode console a surveiller, or ceux-ci ne
s'execute qu'en environement administrateur. (j'ai fait l'essai)

Je voudrai donc pour ce login (declaré en adm local) fermer un ceratin
nombre de choses pour des raisons évidentes de sécurité.

avec tweakui j'ai pu enlever certaine choses mais pas tout loin de là.

existe -il un soft qui me permetrai de mieux verouiller cet espace .

merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #20926081
"karamel" : 4b46209e$0$931$
Bonjour

J'ai besoin de donner l'acces a un serveur en vnc en login administrateur,
car il y a des programmes en mode console a surveiller, or ceux-ci ne
s'execute qu'en environement administrateur. (j'ai fait l'essai)

Je voudrai donc pour ce login (declaré en adm local) fermer un ceratin
nombre de choses pour des raisons évidentes de sécurité.



"Administrateur" et "Limitations" sont contradictoires !

En effet, par définition, un administrateur a le droit de TOUT faire, y
compris de s'accorder des droits qui lui auraient été refusés par ailleurs!
Cf. le truc classique du compte admin qui ne peut pas accéder à un ensemble
de dossiers qui ont été créés sous une autre installation de Windows, et qui
se résout facilement en changeant le propriétaire, ce qui permet de modifier
la liste de contrôle d'accès ...

Donc si tu interdis certaines choses à un compte admin, ce sera aussi
efficace que de pratiquer une miction dans un instrument à corde!

La SEULE SOLUTION est que le compte en question NE SOIT PAS ADMINISTRATEUR !

Donc je te réponds en te posant la question suivante :
Quels sont ces "programmes en mode console a surveiller" qui ne
s'exécutent qu'en environnement administrateur?
Quels liens avec VNC ?
Où s'exécutent ces programmes ?
Sur le serveur VNC je suppose?


Je sens qu'il y a du "SuperExec" dans l'air ...;-)
Je n'ai toujours pas terminé le fichier d'aide. Si tu t'en contentes, je
peux t'envoyer la dernière version du logiciel sans ce fichier.

Pour faire court : SuperExec V4 permet d'exécuter n'importe quel programme
(exe, com, script, raccourci, ...) sous un compte admin mais sans devoir
communiquer le nom de compte admin ni son mot de passe, les infos sur
l'appli + le compte destinataire + le compte admin étant cryptées (très
fortement!) dans un fichier XML (local ou transmis par le réseau et/ou par
email).
NB: fonctionne sous toute version de NT, de Windows 2000 jusqu'à Windows 7,
et entièrement compatible avec UAC.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Alain Naigeon
Le #20927671
"Jean-Claude BELLAMY" message de news:

Je sens qu'il y a du "SuperExec" dans l'air ...;-)
Je n'ai toujours pas terminé le fichier d'aide. Si tu t'en contentes, je
peux t'envoyer la dernière version du logiciel sans ce fichier.



Jean-Claude, cela peut m'intéresser bigrement, dans la mesure
où j'ai eu des petits problèmes avec la version précédente...
Quoique, si tu penses mettre bientôt la V4 en libre service sur
ton site, j'aurai la patience et la politesse d'attendre.

--

Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - - Oberhoffen/Moder, France
http://fr.youtube.com/user/AlainNaigeon
karamel
Le #20929021
Bonjour Jean-claude et autres

Oui, je souscris a tes remarques, mais c'est en environement pro et les
devellopeurs ont fait un peu n'importe quoi... sans se preocuper des droits
et de la securité.

pour resumer simplement, j'ai un serveur dans ma salle serveur, qui traite
d'echanges avec d'autres machines du reseau, et il a été developpé une
application de surveillance et acquitement des transactions. Cette appli
doit etre surveillée pour réagir rapidement en cas de dysfonctionnement de
la chaine de trans, cette surveillance ne nous est pas incombée (nous avons
autre choses a faire...) c'est du fonctionnel donc le responsable du service
a hérité de cette tache, d'autant plus qu'il sera prevenu bien avant nous
d'un pb quelconque...
nous avons confiance envers le responsable, mais.... admin via VNC sur un
serveur "sensible" cela nous ennuie...

donc c'est vrai que c'est illusoire de verouiller un compte admin !!! mais
il n'y a pas que des pros en informatique et une barriere simple, serai déjà
un premier verrou.

je suis bien sur interessé par ton super-exec qui si je comprend bien
ressemble au SUID bit d'unix (le fameux "s"), mais je ne sais pas si il sera
autorisé, car bien sur si nous avons un pb on nous targuera d'avoir modifié
l'environement alors... demerd.. vous.

merci d'avance


"Jean-Claude BELLAMY" message de news:

"karamel" discussion : 4b46209e$0$931$
Bonjour

J'ai besoin de donner l'acces a un serveur en vnc en login
administrateur, car il y a des programmes en mode console a surveiller,
or ceux-ci ne s'execute qu'en environement administrateur. (j'ai fait
l'essai)

Je voudrai donc pour ce login (declaré en adm local) fermer un ceratin
nombre de choses pour des raisons évidentes de sécurité.



"Administrateur" et "Limitations" sont contradictoires !

En effet, par définition, un administrateur a le droit de TOUT faire, y
compris de s'accorder des droits qui lui auraient été refusés par
ailleurs!
Cf. le truc classique du compte admin qui ne peut pas accéder à un
ensemble de dossiers qui ont été créés sous une autre installation de
Windows, et qui se résout facilement en changeant le propriétaire, ce qui
permet de modifier la liste de contrôle d'accès ...

Donc si tu interdis certaines choses à un compte admin, ce sera aussi
efficace que de pratiquer une miction dans un instrument à corde!

La SEULE SOLUTION est que le compte en question NE SOIT PAS ADMINISTRATEUR
!

Donc je te réponds en te posant la question suivante :
Quels sont ces "programmes en mode console a surveiller" qui ne
s'exécutent qu'en environnement administrateur?
Quels liens avec VNC ?
Où s'exécutent ces programmes ?
Sur le serveur VNC je suppose?


Je sens qu'il y a du "SuperExec" dans l'air ...;-)
Je n'ai toujours pas terminé le fichier d'aide. Si tu t'en contentes, je
peux t'envoyer la dernière version du logiciel sans ce fichier.

Pour faire court : SuperExec V4 permet d'exécuter n'importe quel programme
(exe, com, script, raccourci, ...) sous un compte admin mais sans devoir
communiquer le nom de compte admin ni son mot de passe, les infos sur
l'appli + le compte destinataire + le compte admin étant cryptées (très
fortement!) dans un fichier XML (local ou transmis par le réseau et/ou par
email).
NB: fonctionne sous toute version de NT, de Windows 2000 jusqu'à Windows
7, et entièrement compatible avec UAC.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr




Publicité
Poster une réponse
Anonyme