augmenter la securite d'un poste win9x libre acces

Le
Kevin
Bonjour,
on me demande d'installer un poste win9x (vu la plate forme, aucune
chance de mettre un win2k) en service libre acces internet pour les
emails.

Ca me pose des problemes niveau securite.
Le choix windows est sans appel. (je mettrais un win98SE il me reste
une license)

Afin de limiter au maximum la casse, j'ai pense:

. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
ce une bonne idee, ou une fausse bonne idee?)
. Mettre un antivirus gratuit genre Antivir (une autre idee?)
. Un fw perso qui bloquerait toute tentative de sortie autre que le
browser web (lequel?)
. Mettre un reinstalleur rapide (une 2e partition avec un linux et
partimage, car malgre tout je sens que regulierement il se fera infester
par des saloperies diverses et variees)
. Desactiver toutes les cochonneries NetBIOS (Quelles dll est-ce que
je peux effacer? ndis.dll? d'autres? Car forcement je dois l'installer
au milieu d'autres windows, pas moyen de tirer une cable pour l'isoler).

D'autres idees?
Merci
--
Kevin
Hein? /home etait sur ce disk? Mais je l'ai demonte?
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cedric Blancher
Le #573937
Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit :
Afin de limiter au maximum la casse, j'ai pense:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
. Un fw perso qui bloquerait toute tentative de sortie autre que le
browser web (lequel?)


Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou
Thunderbird ?


Pour la gestion des utilisateurs, je les authentifierais sur un domaine,
avec stockage de leur profil sur un serveur 2k distant pour assurer une
séparation minimum des users. Pour le reste, c'est perdu d'avance.


PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si
tu l'enlèves, plus de réseau...

--
begin 644 Happy99.exe
[...]
end
-+- CT in Debian-french : "Virus... Maison... Téléphone..." -+-

Ninou
Le #573934
Le 29 Apr 2004 14:28:31 GMT, (Kevin DENIS) a écrit:

. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
ce une bonne idee, ou une fausse bonne idee?)


pas suffisamment de RAM pour firefox

--
Ninou
Gratilog, le catalogue des logiciels gratuits
http://www.gratilog.net/

FrekoDing
Le #573705
Le 29/04/2004 18:28, Ninou écrivait ceci :

Le 29 Apr 2004 14:28:31 GMT, (Kevin DENIS) a écrit:


. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
ce une bonne idee, ou une fausse bonne idee?)



pas suffisamment de RAM pour firefox


pourquoi donc ?
il mettra du temps a se lancer tout simplement.
une seule instance de Firefox sera lancée et les nouvelles pages à
ouvrir se lanceront dans une nouvelle tabpage.
Il ne faudra pas s'attendre à une navigation eclair mais pour acceder a
un webmail, ca suffit amplement !
@+


tchelaviek
Le #573707
Pour la gestion des utilisateurs, je les authentifierais sur un domaine,
avec stockage de leur profil sur un serveur 2k distant pour assurer une
séparation minimum des users.


C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux
clou de quoi récupérer les mots de passe des autres.
D'autre part, s'il utilise une authentification Kerberos, c'est râpé.
Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant
voir ici :
Je ne peux t'en dire plus, j'ai pas essayé.

--
tchelaviek

Ascadix
Le #573703
De ses petits doigts agiles, Kevin DENIS à provoqué l'apparition de
l'histoire que voici :

Bonjour,
on me demande d'installer un poste win9x (vu la plate forme, aucune
chance de mettre un win2k) en service libre acces internet pour les
emails.

Ca me pose des problemes niveau securite.
Le choix windows est sans appel. (je mettrais un win98SE il me reste
une license)

Afin de limiter au maximum la casse, j'ai pense:

. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup?
Est ce une bonne idee, ou une fausse bonne idee?)
. Mettre un antivirus gratuit genre Antivir (une autre idee?)
. Un fw perso qui bloquerait toute tentative de sortie autre que le
browser web (lequel?)
. Mettre un reinstalleur rapide (une 2e partition avec un linux et
partimage, car malgre tout je sens que regulierement il se fera
infester par des saloperies diverses et variees)
. Desactiver toutes les cochonneries NetBIOS (Quelles dll est-ce que
je peux effacer? ndis.dll? d'autres? Car forcement je dois l'installer
au milieu d'autres windows, pas moyen de tirer une cable pour
l'isoler).

D'autres idees?
Merci


Tente le coup avec un NT4 ? un peu court les 32 Mo mais en allégeant
l'install, avec un IE5.5 ( surtout pas un 6 ) bien configuré ou un firefox
ça peut tenir.

Sinon ... un windows 3.11 + IE5-16bits, ça tourne super-bien sur 32 Mo, et
en mettant un Calmira en shell, ça ressemble suffisament à Win9x pour que
l'utilisateur lambda ne soit pas perdu.

Coté ghost ou equivalent, ça peut se faire vite fait
- genre un multi-boot avec xosl masquage/activation de partition + un mot de
passe sur le boot de la partition de secours et un bete xcopy /squand il y a
besoin.


--
@+
Ascadix
Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans
l'objet :-)

Cedric Blancher
Le #573700
Le Thu, 29 Apr 2004 19:00:43 +0000, tchelaviek a écrit :
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux
clou de quoi récupérer les mots de passe des autres.


Sauf si...

Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant
voir ici :


Ben voilà, tu as donné la réponse.

--
BOFH excuse #218:

The UPS doesn't have a battery backup.

Cedric Blancher
Le #573477
Le Thu, 29 Apr 2004 19:00:43 +0000, tchelaviek a écrit :
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux
clou de quoi récupérer les mots de passe des autres.


Effectivement, avec un keylogger, ce serait simple...

--
in fr.bio.canauxioniques:
LC> y a quelqu'un ?
LC> encore un site voué a la destruction!
-+- in : GNU - Le silence des espaces infinis m'effraie -+-

Ninou
Le #573471
Le 29 Apr 2004 19:00:43 GMT, FrekoDing écrit:

pas suffisamment de RAM pour firefox


pourquoi donc ?


ici en ce moment il utilise à lui tout seul 32 MO ??? et windows il lui
restera quoi ?

--
Ninou
Gratilog, le catalogue des logiciels gratuits
http://www.gratilog.net/


FrekoDing
Le #573469
Le 30/04/2004 11:59, Ninou écrivait ceci :

Le 29 Apr 2004 19:00:43 GMT, FrekoDing écrit:


pas suffisamment de RAM pour firefox


pourquoi donc ?



ici en ce moment il utilise à lui tout seul 32 MO ??? et windows il lui
restera quoi ?


en effet, je viens de tester... 18 mo de pris par firefox !
bon il lui reste plus que la solution d'IE 5, le navigateur texte ou
alors passer sous Win 3.1 ;-)
@+



Kevin
Le #573225
Le 29 Apr 2004 14:32:47 GMT, Cedric Blancher a ecrit:
| Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit :
|> Afin de limiter au maximum la casse, j'ai pense:
|> . Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
|> . Un fw perso qui bloquerait toute tentative de sortie autre que le
|> browser web (lequel?)
|
| Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou
| Thunderbird ?
|
Non, c'est pour permettre a des etudiants d'acceder a des webmails.

| Pour la gestion des utilisateurs, je les authentifierais sur un domaine,
| avec stockage de leur profil sur un serveur 2k distant pour assurer une
| séparation minimum des users. Pour le reste, c'est perdu d'avance.
|
donc aucun souci de ce niveau, le poste doit etre en acces totalement
libre (pas de login/pass) pour que n'importe qui passe puisse l'utiliser.
Et aucun souci pour un formatage/reinstallation regulier. Ce poste n'a
aucune vocation a servir de poste de travail.

| PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si
| tu l'enlèves, plus de réseau...
|
J'ai le souvenir d'un eleve qui avait vire une dll, qui n'avait plus
rien de reseau windows mais qui pouvait surfer quand meme. On avait
seulement une injurebox au demarrage mais rien de plus. Si quelqu'un
connait cette dll dont j'ai bien evidement oublie le nom..

--
Kevin
..et si maintenant j'inverse les nappes des deux controlleurs comme ca..
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Publicité
Poster une réponse
Anonyme