augmenter la securite d'un poste win9x libre acces
10 réponses
Kevin
Bonjour,
on me demande d'installer un poste win9x (vu la plate forme, aucune
chance de mettre un win2k) en service libre acces internet pour les
emails.
Ca me pose des problemes niveau securite.
Le choix windows est sans appel. (je mettrais un win98SE il me reste
une license)
Afin de limiter au maximum la casse, j'ai pense:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
ce une bonne idee, ou une fausse bonne idee?)
. Mettre un antivirus gratuit genre Antivir (une autre idee?)
. Un fw perso qui bloquerait toute tentative de sortie autre que le
browser web (lequel?)
. Mettre un reinstalleur rapide (une 2e partition avec un linux et
partimage, car malgre tout je sens que regulierement il se fera infester
par des saloperies diverses et variees)
. Desactiver toutes les cochonneries NetBIOS (Quelles dll est-ce que
je peux effacer? ndis.dll? d'autres? Car forcement je dois l'installer
au milieu d'autres windows, pas moyen de tirer une cable pour l'isoler).
D'autres idees?
Merci
--
Kevin
Hein? /home etait sur ce disk? Mais je l'ai demonte?
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit :
Afin de limiter au maximum la casse, j'ai pense: . Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est . Un fw perso qui bloquerait toute tentative de sortie autre que le browser web (lequel?)
Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou Thunderbird ?
Pour la gestion des utilisateurs, je les authentifierais sur un domaine, avec stockage de leur profil sur un serveur 2k distant pour assurer une séparation minimum des users. Pour le reste, c'est perdu d'avance.
PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si tu l'enlèves, plus de réseau...
-- begin 644 Happy99.exe [...] end -+- CT in Debian-french : "Virus... Maison... Téléphone..." -+-
Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit :
Afin de limiter au maximum la casse, j'ai pense:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
. Un fw perso qui bloquerait toute tentative de sortie autre que le
browser web (lequel?)
Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou
Thunderbird ?
Pour la gestion des utilisateurs, je les authentifierais sur un domaine,
avec stockage de leur profil sur un serveur 2k distant pour assurer une
séparation minimum des users. Pour le reste, c'est perdu d'avance.
PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si
tu l'enlèves, plus de réseau...
--
begin 644 Happy99.exe
[...]
end
-+- CT in Debian-french : "Virus... Maison... Téléphone..." -+-
Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit :
Afin de limiter au maximum la casse, j'ai pense: . Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est . Un fw perso qui bloquerait toute tentative de sortie autre que le browser web (lequel?)
Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou Thunderbird ?
Pour la gestion des utilisateurs, je les authentifierais sur un domaine, avec stockage de leur profil sur un serveur 2k distant pour assurer une séparation minimum des users. Pour le reste, c'est perdu d'avance.
PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si tu l'enlèves, plus de réseau...
-- begin 644 Happy99.exe [...] end -+- CT in Debian-french : "Virus... Maison... Téléphone..." -+-
Ninou
Le 29 Apr 2004 14:28:31 GMT, (Kevin DENIS) a écrit:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est ce une bonne idee, ou une fausse bonne idee?)
pas suffisamment de RAM pour firefox
-- Ninou Gratilog, le catalogue des logiciels gratuits http://www.gratilog.net/
Le 29 Apr 2004 14:28:31 GMT, Kevin@nowhere.invalid (Kevin DENIS) a écrit:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
ce une bonne idee, ou une fausse bonne idee?)
pas suffisamment de RAM pour firefox
--
Ninou
Gratilog, le catalogue des logiciels gratuits
http://www.gratilog.net/
Le 29 Apr 2004 14:28:31 GMT, (Kevin DENIS) a écrit:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est ce une bonne idee, ou une fausse bonne idee?)
pas suffisamment de RAM pour firefox
-- Ninou Gratilog, le catalogue des logiciels gratuits http://www.gratilog.net/
FrekoDing
Le 29/04/2004 18:28, Ninou écrivait ceci :
Le 29 Apr 2004 14:28:31 GMT, (Kevin DENIS) a écrit:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est ce une bonne idee, ou une fausse bonne idee?)
pas suffisamment de RAM pour firefox
pourquoi donc ? il mettra du temps a se lancer tout simplement. une seule instance de Firefox sera lancée et les nouvelles pages à ouvrir se lanceront dans une nouvelle tabpage. Il ne faudra pas s'attendre à une navigation eclair mais pour acceder a un webmail, ca suffit amplement ! @+
Le 29/04/2004 18:28, Ninou écrivait ceci :
Le 29 Apr 2004 14:28:31 GMT, Kevin@nowhere.invalid (Kevin DENIS) a écrit:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
ce une bonne idee, ou une fausse bonne idee?)
pas suffisamment de RAM pour firefox
pourquoi donc ?
il mettra du temps a se lancer tout simplement.
une seule instance de Firefox sera lancée et les nouvelles pages à
ouvrir se lanceront dans une nouvelle tabpage.
Il ne faudra pas s'attendre à une navigation eclair mais pour acceder a
un webmail, ca suffit amplement !
@+
Le 29 Apr 2004 14:28:31 GMT, (Kevin DENIS) a écrit:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est ce une bonne idee, ou une fausse bonne idee?)
pas suffisamment de RAM pour firefox
pourquoi donc ? il mettra du temps a se lancer tout simplement. une seule instance de Firefox sera lancée et les nouvelles pages à ouvrir se lanceront dans une nouvelle tabpage. Il ne faudra pas s'attendre à une navigation eclair mais pour acceder a un webmail, ca suffit amplement ! @+
tchelaviek
Pour la gestion des utilisateurs, je les authentifierais sur un domaine, avec stockage de leur profil sur un serveur 2k distant pour assurer une séparation minimum des users.
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux clou de quoi récupérer les mots de passe des autres. D'autre part, s'il utilise une authentification Kerberos, c'est râpé. Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant voir ici : <http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp> Je ne peux t'en dire plus, j'ai pas essayé.
-- tchelaviek
Pour la gestion des utilisateurs, je les authentifierais sur un domaine,
avec stockage de leur profil sur un serveur 2k distant pour assurer une
séparation minimum des users.
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux
clou de quoi récupérer les mots de passe des autres.
D'autre part, s'il utilise une authentification Kerberos, c'est râpé.
Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant
voir ici :
<http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp>
Je ne peux t'en dire plus, j'ai pas essayé.
Pour la gestion des utilisateurs, je les authentifierais sur un domaine, avec stockage de leur profil sur un serveur 2k distant pour assurer une séparation minimum des users.
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux clou de quoi récupérer les mots de passe des autres. D'autre part, s'il utilise une authentification Kerberos, c'est râpé. Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant voir ici : <http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp> Je ne peux t'en dire plus, j'ai pas essayé.
-- tchelaviek
Ascadix
De ses petits doigts agiles, Kevin DENIS à provoqué l'apparition de l'histoire que voici : <news:
Bonjour, on me demande d'installer un poste win9x (vu la plate forme, aucune chance de mettre un win2k) en service libre acces internet pour les emails.
Ca me pose des problemes niveau securite. Le choix windows est sans appel. (je mettrais un win98SE il me reste une license)
Afin de limiter au maximum la casse, j'ai pense:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est ce une bonne idee, ou une fausse bonne idee?) . Mettre un antivirus gratuit genre Antivir (une autre idee?) . Un fw perso qui bloquerait toute tentative de sortie autre que le browser web (lequel?) . Mettre un reinstalleur rapide (une 2e partition avec un linux et partimage, car malgre tout je sens que regulierement il se fera infester par des saloperies diverses et variees) . Desactiver toutes les cochonneries NetBIOS (Quelles dll est-ce que je peux effacer? ndis.dll? d'autres? Car forcement je dois l'installer au milieu d'autres windows, pas moyen de tirer une cable pour l'isoler).
D'autres idees? Merci
Tente le coup avec un NT4 ? un peu court les 32 Mo mais en allégeant l'install, avec un IE5.5 ( surtout pas un 6 ) bien configuré ou un firefox ça peut tenir.
Sinon ... un windows 3.11 + IE5-16bits, ça tourne super-bien sur 32 Mo, et en mettant un Calmira en shell, ça ressemble suffisament à Win9x pour que l'utilisateur lambda ne soit pas perdu.
Coté ghost ou equivalent, ça peut se faire vite fait - genre un multi-boot avec xosl masquage/activation de partition + un mot de passe sur le boot de la partition de secours et un bete xcopy /squand il y a besoin.
-- @+ Ascadix Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans l'objet :-)
De ses petits doigts agiles, Kevin DENIS à provoqué l'apparition de
l'histoire que voici :
<news:slrnc923pq.an.Kevin@slackware.local.tux>
Bonjour,
on me demande d'installer un poste win9x (vu la plate forme, aucune
chance de mettre un win2k) en service libre acces internet pour les
emails.
Ca me pose des problemes niveau securite.
Le choix windows est sans appel. (je mettrais un win98SE il me reste
une license)
Afin de limiter au maximum la casse, j'ai pense:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup?
Est ce une bonne idee, ou une fausse bonne idee?)
. Mettre un antivirus gratuit genre Antivir (une autre idee?)
. Un fw perso qui bloquerait toute tentative de sortie autre que le
browser web (lequel?)
. Mettre un reinstalleur rapide (une 2e partition avec un linux et
partimage, car malgre tout je sens que regulierement il se fera
infester par des saloperies diverses et variees)
. Desactiver toutes les cochonneries NetBIOS (Quelles dll est-ce que
je peux effacer? ndis.dll? d'autres? Car forcement je dois l'installer
au milieu d'autres windows, pas moyen de tirer une cable pour
l'isoler).
D'autres idees?
Merci
Tente le coup avec un NT4 ? un peu court les 32 Mo mais en allégeant
l'install, avec un IE5.5 ( surtout pas un 6 ) bien configuré ou un firefox
ça peut tenir.
Sinon ... un windows 3.11 + IE5-16bits, ça tourne super-bien sur 32 Mo, et
en mettant un Calmira en shell, ça ressemble suffisament à Win9x pour que
l'utilisateur lambda ne soit pas perdu.
Coté ghost ou equivalent, ça peut se faire vite fait
- genre un multi-boot avec xosl masquage/activation de partition + un mot de
passe sur le boot de la partition de secours et un bete xcopy /squand il y a
besoin.
--
@+
Ascadix
Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans
l'objet :-)
De ses petits doigts agiles, Kevin DENIS à provoqué l'apparition de l'histoire que voici : <news:
Bonjour, on me demande d'installer un poste win9x (vu la plate forme, aucune chance de mettre un win2k) en service libre acces internet pour les emails.
Ca me pose des problemes niveau securite. Le choix windows est sans appel. (je mettrais un win98SE il me reste une license)
Afin de limiter au maximum la casse, j'ai pense:
. Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est ce une bonne idee, ou une fausse bonne idee?) . Mettre un antivirus gratuit genre Antivir (une autre idee?) . Un fw perso qui bloquerait toute tentative de sortie autre que le browser web (lequel?) . Mettre un reinstalleur rapide (une 2e partition avec un linux et partimage, car malgre tout je sens que regulierement il se fera infester par des saloperies diverses et variees) . Desactiver toutes les cochonneries NetBIOS (Quelles dll est-ce que je peux effacer? ndis.dll? d'autres? Car forcement je dois l'installer au milieu d'autres windows, pas moyen de tirer une cable pour l'isoler).
D'autres idees? Merci
Tente le coup avec un NT4 ? un peu court les 32 Mo mais en allégeant l'install, avec un IE5.5 ( surtout pas un 6 ) bien configuré ou un firefox ça peut tenir.
Sinon ... un windows 3.11 + IE5-16bits, ça tourne super-bien sur 32 Mo, et en mettant un Calmira en shell, ça ressemble suffisament à Win9x pour que l'utilisateur lambda ne soit pas perdu.
Coté ghost ou equivalent, ça peut se faire vite fait - genre un multi-boot avec xosl masquage/activation de partition + un mot de passe sur le boot de la partition de secours et un bete xcopy /squand il y a besoin.
-- @+ Ascadix Adresse @mail valide ... mais pour que le mail arrive, ajoutez "sesame" dans l'objet :-)
Cedric Blancher
Le Thu, 29 Apr 2004 19:00:43 +0000, tchelaviek a écrit :
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux clou de quoi récupérer les mots de passe des autres.
Sauf si...
Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant voir ici : <http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp>
Ben voilà, tu as donné la réponse.
-- BOFH excuse #218:
The UPS doesn't have a battery backup.
Le Thu, 29 Apr 2004 19:00:43 +0000, tchelaviek a écrit :
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux
clou de quoi récupérer les mots de passe des autres.
Sauf si...
Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant
voir ici :
<http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp>
Le Thu, 29 Apr 2004 19:00:43 +0000, tchelaviek a écrit :
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux clou de quoi récupérer les mots de passe des autres.
Sauf si...
Sinon, le minimum serait au moins de tenter d'activer NTLMv2 en allant voir ici : <http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp>
Ben voilà, tu as donné la réponse.
-- BOFH excuse #218:
The UPS doesn't have a battery backup.
Cedric Blancher
Le Thu, 29 Apr 2004 19:00:43 +0000, tchelaviek a écrit :
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux clou de quoi récupérer les mots de passe des autres.
Effectivement, avec un keylogger, ce serait simple...
-- in fr.bio.canauxioniques: LC> y a quelqu'un ? LC> encore un site voué a la destruction! -+- in : GNU - Le silence des espaces infinis m'effraie -+-
Le Thu, 29 Apr 2004 19:00:43 +0000, tchelaviek a écrit :
C'est pas une bonne idée. Un petit malin pourrait coller sur ce vieux
clou de quoi récupérer les mots de passe des autres.
Effectivement, avec un keylogger, ce serait simple...
--
in fr.bio.canauxioniques:
LC> y a quelqu'un ?
LC> encore un site voué a la destruction!
-+- in : GNU - Le silence des espaces infinis m'effraie -+-
ici en ce moment il utilise à lui tout seul 32 MO ??? et windows il lui restera quoi ?
-- Ninou Gratilog, le catalogue des logiciels gratuits http://www.gratilog.net/
FrekoDing
Le 30/04/2004 11:59, Ninou écrivait ceci :
Le 29 Apr 2004 19:00:43 GMT, FrekoDing a écrit:
pas suffisamment de RAM pour firefox
pourquoi donc ?
ici en ce moment il utilise à lui tout seul 32 MO ??? et windows il lui restera quoi ?
en effet, je viens de tester... 18 mo de pris par firefox ! bon il lui reste plus que la solution d'IE 5, le navigateur texte ou alors passer sous Win 3.1 ;-) @+
Le 30/04/2004 11:59, Ninou écrivait ceci :
Le 29 Apr 2004 19:00:43 GMT, FrekoDing <frekoding.pasdespam@9online.com> a
écrit:
pas suffisamment de RAM pour firefox
pourquoi donc ?
ici en ce moment il utilise à lui tout seul 32 MO ??? et windows il lui
restera quoi ?
en effet, je viens de tester... 18 mo de pris par firefox !
bon il lui reste plus que la solution d'IE 5, le navigateur texte ou
alors passer sous Win 3.1 ;-)
@+
ici en ce moment il utilise à lui tout seul 32 MO ??? et windows il lui restera quoi ?
en effet, je viens de tester... 18 mo de pris par firefox ! bon il lui reste plus que la solution d'IE 5, le navigateur texte ou alors passer sous Win 3.1 ;-) @+
Kevin
Le 29 Apr 2004 14:32:47 GMT, Cedric Blancher a ecrit: | Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit : |> Afin de limiter au maximum la casse, j'ai pense: |> . Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est |> . Un fw perso qui bloquerait toute tentative de sortie autre que le |> browser web (lequel?) | | Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou | Thunderbird ? | Non, c'est pour permettre a des etudiants d'acceder a des webmails.
| Pour la gestion des utilisateurs, je les authentifierais sur un domaine, | avec stockage de leur profil sur un serveur 2k distant pour assurer une | séparation minimum des users. Pour le reste, c'est perdu d'avance. | donc aucun souci de ce niveau, le poste doit etre en acces totalement libre (pas de login/pass) pour que n'importe qui passe puisse l'utiliser. Et aucun souci pour un formatage/reinstallation regulier. Ce poste n'a aucune vocation a servir de poste de travail.
| PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si | tu l'enlèves, plus de réseau... | J'ai le souvenir d'un eleve qui avait vire une dll, qui n'avait plus rien de reseau windows mais qui pouvait surfer quand meme. On avait seulement une injurebox au demarrage mais rien de plus. Si quelqu'un connait cette dll dont j'ai bien evidement oublie le nom..
-- Kevin ..et si maintenant j'inverse les nappes des deux controlleurs comme ca.. -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 29 Apr 2004 14:32:47 GMT, Cedric Blancher a ecrit:
| Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit :
|> Afin de limiter au maximum la casse, j'ai pense:
|> . Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est
|> . Un fw perso qui bloquerait toute tentative de sortie autre que le
|> browser web (lequel?)
|
| Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou
| Thunderbird ?
|
Non, c'est pour permettre a des etudiants d'acceder a des webmails.
| Pour la gestion des utilisateurs, je les authentifierais sur un domaine,
| avec stockage de leur profil sur un serveur 2k distant pour assurer une
| séparation minimum des users. Pour le reste, c'est perdu d'avance.
|
donc aucun souci de ce niveau, le poste doit etre en acces totalement
libre (pas de login/pass) pour que n'importe qui passe puisse l'utiliser.
Et aucun souci pour un formatage/reinstallation regulier. Ce poste n'a
aucune vocation a servir de poste de travail.
| PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si
| tu l'enlèves, plus de réseau...
|
J'ai le souvenir d'un eleve qui avait vire une dll, qui n'avait plus
rien de reseau windows mais qui pouvait surfer quand meme. On avait
seulement une injurebox au demarrage mais rien de plus. Si quelqu'un
connait cette dll dont j'ai bien evidement oublie le nom..
--
Kevin
..et si maintenant j'inverse les nappes des deux controlleurs comme ca..
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 29 Apr 2004 14:32:47 GMT, Cedric Blancher a ecrit: | Le Thu, 29 Apr 2004 14:28:31 +0000, Kevin DENIS a écrit : |> Afin de limiter au maximum la casse, j'ai pense: |> . Mettre firefox au lieu de IE (avec 32Mo de RAM, ca tient le coup? Est |> . Un fw perso qui bloquerait toute tentative de sortie autre que le |> browser web (lequel?) | | Si c'est pour le mail, ils n'utilisent pas de client IMAP/POP genre OE ou | Thunderbird ? | Non, c'est pour permettre a des etudiants d'acceder a des webmails.
| Pour la gestion des utilisateurs, je les authentifierais sur un domaine, | avec stockage de leur profil sur un serveur 2k distant pour assurer une | séparation minimum des users. Pour le reste, c'est perdu d'avance. | donc aucun souci de ce niveau, le poste doit etre en acces totalement libre (pas de login/pass) pour que n'importe qui passe puisse l'utiliser. Et aucun souci pour un formatage/reinstallation regulier. Ce poste n'a aucune vocation a servir de poste de travail.
| PS : ndis.dll, c'est pour l'interface de gestion des drivers réseau. Si | tu l'enlèves, plus de réseau... | J'ai le souvenir d'un eleve qui avait vire une dll, qui n'avait plus rien de reseau windows mais qui pouvait surfer quand meme. On avait seulement une injurebox au demarrage mais rien de plus. Si quelqu'un connait cette dll dont j'ai bien evidement oublie le nom..
-- Kevin ..et si maintenant j'inverse les nappes des deux controlleurs comme ca.. -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
