Restriction BDR XP PRO
Le
acham
Bonjour,
Comment empêcher la suppression du mot de passe pour accéder en tant
qu'administrateur à XP PRO. En clair je voudrais que ce mot de passe ne
puisse pas être changé.
J'ai recherché et trouvé beaucoup de restrictions applicables mais pas celle
qui empêche de supprimer voire de modifier le mot de passe.
Merci pour votre aide.
Cordialement
acham
Comment empêcher la suppression du mot de passe pour accéder en tant
qu'administrateur à XP PRO. En clair je voudrais que ce mot de passe ne
puisse pas être changé.
J'ai recherché et trouvé beaucoup de restrictions applicables mais pas celle
qui empêche de supprimer voire de modifier le mot de passe.
Merci pour votre aide.
Cordialement
acham
Bonjour,
La seule façon de procéder depuis Windows, est de n'utiliser qu'UN SEUL
compte administrateur, les autres profils, n'ont alors pas l'autorisation de
modifier le mot de passe d'un compte ayant des privilèges au dessus des
leurs.
Maintenant, depuis ce compte même, il n'est pas possible d'empêcher cela,
c'est l'une des raisons qui doit vous convaincre de ne pas utiliser de
session avec les droits Administrateurs sur Windows XP (Vista/Seven, c'est
mieux pour cela (UAC)) en dehors de l'administration de la machine.
Autrement, pour que vous le sachiez quand même, a partir d'un CDROM, d'une
clé USB ou même, d'une simple disquette, il faut 1 minute tout compris, pour
modifier le mot de passe du compte "Administrateur" ou pire encore, créer un
compte avec les droits que l'on veux.
La sécurité NTFS est béton, mais pour cela, il faut protéger l'ordinateur.
--
Fabrice, Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP : http://a.vouillon.online.fr/faq-winxp.htm
Il faut mettre un mot de passe au compte Administrateur par défaut
(celui de la Console de récupération et du mode sans échec). C'est de
ce compte dont parle Acham je pense.
Je crois que Acham voulait justement être protégé contre ce type
d'attaque (disquette Nordhal ou ubcd4win). Et pour cela, en première
approche, il faut empêcher de pouvoir démarrer depuis l'USB ou le
lecteur de CD et mettre un mot de passe sur le BIOS (et ne pas le
perdre).
--
Salutations, Jean-François
http://fspsa.free.fr/lenteur.htm
Tu fais allusion je suppose à la méthode de Petter NORDHAL que je décris
sur mon site ?
(http://www.bellamyjc.org/fr/pwdnt.html)
Tout d'abord, il faudra supprimerTOUS les autres comptes administrateurs,
puisque, par définition, un admin a tous les droits, y compris celui de
modifier les mots de passe de n'importe qui.
Ensuite, il faudra interdire l'accès PHYSIQUE à l'ordinateur :
- en l'enfermant dans un local protégé
- en définissant un mot de passe suffisamment solide pour la
configuration du BIOS
- en désactivant le lecteur de disquette et de CDROM au niveau du BIOS
On peut aussi ajouter un pitbull à jeun montant la garde, + des dispositifs
biométriques tels que lecteur d'empreinte digitale et/ou d'iris oculaire.
;-)
A propos du password au niveau du BIOS, il y a quelques années, c'était
facile à contourner, en ouvrant le PC et en ôtant la pile alimentant la CMOS
pendant quelques secondes ou minutes.
Maintenant, c'est beaucoup plus difficile pour effacer ce mot de passe, pour
ne pas dire impossible, car chez IBM, SONY, DELL, HP, ..., le mot de passe
BIOS n'est plus dans la CMOS, mais est inscrit dans un "Security chip" (une
variété d'EEPROM = Electrically Erasable Read Only Memory).
Et le "flashage" de cette EEPROM est nettement plus complexe que celui du
BIOS ...
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Merci à tous pour votre aide et pour vos conseils. Je "vois" que ce n'est
pas simple, mais je pense que le panel que vous m'avez proposé me permettra
de trouver la solution qui convienne le mieux à ce que je recherchais.
Je n'avais pensé au pitt-bull .... peut-être un peu compliqué vu la
réglementation actuelle ! Bravo pour l'humour.
acham
"Jean-Claude BELLAMY" message de news: