Partage de fichiers simple/avancé - Domaine
Résolu
Yoan
Messages postés
11795
Date d'inscription
Statut
Modérateur
Dernière intervention
-
Yoan Messages postés 11795 Date d'inscription Statut Modérateur Dernière intervention -
Yoan Messages postés 11795 Date d'inscription Statut Modérateur Dernière intervention -
Hello,
J'ai un réseau consitué de 8 machines et un serveur sous W2K Server.
Je gère les autorisations avec Active Directory.
Régulièrement de nouvelles machines non-membres du domaine viennent se connecter au réseau pour bénéficier de la connexion à Internet et avoir accès aux fichiers partagés (autorisations NTFS). Le problème, c'est que sur ces machines, les utilisateurs ont déja des dossiers partagés sur leur réseau personnel en utilisant le partage simple. Du coup, n'importe qui a accès à leurs données partagées.
Après quelques recherches d'activité du réseau, il semblerait que le protocole ICMP (et éventuellement ARP) soit en activité à ce moment-là. Donc finalement, est-ce que bloquer ICMP pourrait :
- D'une machine "nomade" avoir accès aux stations membre du domaine ?
- D'une machine du domaine, interdire l'accès à une machine nomade ?
Peut-être qu'un filtrage aussi par port pourrait résoudre le problème ?
Ca me semble un peu idéaliste ce que je dis, bien que je suis sûr qu'il y ait une façon de le faire, ... mais d'une autre manière ;-))
Merci.
L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...
J'ai un réseau consitué de 8 machines et un serveur sous W2K Server.
Je gère les autorisations avec Active Directory.
Régulièrement de nouvelles machines non-membres du domaine viennent se connecter au réseau pour bénéficier de la connexion à Internet et avoir accès aux fichiers partagés (autorisations NTFS). Le problème, c'est que sur ces machines, les utilisateurs ont déja des dossiers partagés sur leur réseau personnel en utilisant le partage simple. Du coup, n'importe qui a accès à leurs données partagées.
Après quelques recherches d'activité du réseau, il semblerait que le protocole ICMP (et éventuellement ARP) soit en activité à ce moment-là. Donc finalement, est-ce que bloquer ICMP pourrait :
- D'une machine "nomade" avoir accès aux stations membre du domaine ?
- D'une machine du domaine, interdire l'accès à une machine nomade ?
Peut-être qu'un filtrage aussi par port pourrait résoudre le problème ?
Ca me semble un peu idéaliste ce que je dis, bien que je suis sûr qu'il y ait une façon de le faire, ... mais d'une autre manière ;-))
Merci.
L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...
A voir également:
- Partage de fichiers simple/avancé - Domaine
- Partage de photos - Guide
- Meilleur site partage abonnement - Accueil - Services en ligne
- Iphone 14 simple - Guide
- Explorateur de fichiers - Guide
- Partage d'écran whatsapp pc - Accueil - Messagerie instantanée
7 réponses
Mais il faudrait garder le partage de fichiers sur ces ordinateurs :)
Et sur le firewall oui, c'est ce que je compte faire, mais je ne sais pas quoi bloquer :)
Et sur le firewall oui, c'est ce que je compte faire, mais je ne sais pas quoi bloquer :)
Bonjour,
Bloquer les demandes entrantes en provenance des 8 ordis doit éviter que l'on voit les données des ordis nomades (et les sortantes doit protéger les données de ton réseau). Est ce que cela n'entraîne pas aussi la perte d'accès aux données partagées ?
Il faut certainement conserver l'accès au serveur.
Par contre, c'est certainement lourd à gérer pour l'ordi nomade.
Bonne suite.
Bloquer les demandes entrantes en provenance des 8 ordis doit éviter que l'on voit les données des ordis nomades (et les sortantes doit protéger les données de ton réseau). Est ce que cela n'entraîne pas aussi la perte d'accès aux données partagées ?
Il faut certainement conserver l'accès au serveur.
Par contre, c'est certainement lourd à gérer pour l'ordi nomade.
Bonne suite.
salut,
si ils ne sont pas memebres du domaine, comment ont-ils accès aux partages ? les serveurs ne sont pas sur le domaine ?
tu pourrais déjà bloquer les ports 137 et 138 udp ainsi que 139 sur tcp, ça correspond à netbios sur tcpip et normalment un réseau AD ne les utilse pas, c'est plutôt sur le port 445 que ça se passe.
Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
il est ahurissant de laisser des PC extérieurs se connecter à un réseau windows.
si ils ne sont pas memebres du domaine, comment ont-ils accès aux partages ? les serveurs ne sont pas sur le domaine ?
tu pourrais déjà bloquer les ports 137 et 138 udp ainsi que 139 sur tcp, ça correspond à netbios sur tcpip et normalment un réseau AD ne les utilse pas, c'est plutôt sur le port 445 que ça se passe.
Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
il est ahurissant de laisser des PC extérieurs se connecter à un réseau windows.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
il est ahurissant de laisser des PC extérieurs se connecter à un réseau windows.
Oui, mais je n'ai pas les connaissances requises pour faire mieux. (Et dans l'immédiat il n'y a que moi pour m'en occuper bénévolement).
Les utilisateurs ont accès aux partages grâce à un login du domaine, leur donnant les autorisations pour accéder aux dossiers nécessaires.
Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
Je suis prêt à le faire si tu m'expliques un peu pluche, avec quels moyens, et comment :)
vlan
Merci :)
Sachant que je n'ai des pare-feu que sur ces machines "nomades", le réseau Internet est filtré par le proxy.
Oui, mais je n'ai pas les connaissances requises pour faire mieux. (Et dans l'immédiat il n'y a que moi pour m'en occuper bénévolement).
Les utilisateurs ont accès aux partages grâce à un login du domaine, leur donnant les autorisations pour accéder aux dossiers nécessaires.
Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
Je suis prêt à le faire si tu m'expliques un peu pluche, avec quels moyens, et comment :)
vlan
Merci :)
Sachant que je n'ai des pare-feu que sur ces machines "nomades", le réseau Internet est filtré par le proxy.
Les utilisateurs ont accès aux partages grâce à un login du domaine, leur donnant les autorisations pour accéder aux dossiers nécessaires.
mais .... leurs machines ne sont pas membres du domaine ?
pour le vlan, il faut des switchs manageables, bien entendu, un routeur ou un firewall entre ce vlan et le reste du réseau, pour une étude complète, ça va prendre un peu de temps ;-)
mais .... leurs machines ne sont pas membres du domaine ?
Non.
Lorsqu'ils tentent d'accéder à un dossier partagé du serveur (qui est aussi le contrôleur du domaine), Windows leur demande un login et un mot de passe. De ce fait, ils entrent celui qu'on leur a attribué, leur donnant accès aux dossiers necéssaires.
Aucun des switchs que l'on a n'est manageable. Mais si c'est réalisable, ça doit se trouver :) ....
Si j'ai bien compris, le vlan, branché sur le switch principal devrait créer un sous-réseau auquel on appliquerait les règles de firewall nécessaires ?
Non.
Lorsqu'ils tentent d'accéder à un dossier partagé du serveur (qui est aussi le contrôleur du domaine), Windows leur demande un login et un mot de passe. De ce fait, ils entrent celui qu'on leur a attribué, leur donnant accès aux dossiers necéssaires.
Aucun des switchs que l'on a n'est manageable. Mais si c'est réalisable, ça doit se trouver :) ....
Si j'ai bien compris, le vlan, branché sur le switch principal devrait créer un sous-réseau auquel on appliquerait les règles de firewall nécessaires ?
oui, c'est cela,
un sous réseau à part qui bloquerait déjà les broadcast udp d' annonce de leurs "services".
ces utilisateurs entrent leur login sous la forme domaine\login alors ?
tu les fais passer à la désinfection avant (karcher, micro ondes ) tu vois , les maladies hautement contagieuses quoi .
un sous réseau à part qui bloquerait déjà les broadcast udp d' annonce de leurs "services".
ces utilisateurs entrent leur login sous la forme domaine\login alors ?
tu les fais passer à la désinfection avant (karcher, micro ondes ) tu vois , les maladies hautement contagieuses quoi .
ces utilisateurs entrent leur login sous la forme domaine\login alors ?
Oui.
J'ai vérifié qu'il avaient le système de protection minimum. Mais je ne peux pas non plus passer le karcher, ce ne sont pas mes machines :)
OK Merci. Je ne sais pas si acheter du matos vaut vraiment le coup, d'autant que c'est occasionnel. Mais enfin c'est vrai que ça risque de devenir une [mauvaise] habitude. Je vais déja essayer de configurer les pare-feu. Merci.
Oui.
J'ai vérifié qu'il avaient le système de protection minimum. Mais je ne peux pas non plus passer le karcher, ce ne sont pas mes machines :)
OK Merci. Je ne sais pas si acheter du matos vaut vraiment le coup, d'autant que c'est occasionnel. Mais enfin c'est vrai que ça risque de devenir une [mauvaise] habitude. Je vais déja essayer de configurer les pare-feu. Merci.