Securiser un domain
xantra
-
xantra -
xantra -
Bonjour,
J'ai installer un domaine sur un serveur windows 2003 avec active directory, dns et dhcp. J'ai ajouter au domaine les pc clients, mais maintenant j'aimerai configurer le serveur de façon que seul les pc du domaine peuvent entrer sur le réseau. Je pense que ceci ce configure sur le serveur dns mais je ne sais pas du tout comment faire, je trouve rien sur internet.
Merci d'avance pour votre aide.
J'ai installer un domaine sur un serveur windows 2003 avec active directory, dns et dhcp. J'ai ajouter au domaine les pc clients, mais maintenant j'aimerai configurer le serveur de façon que seul les pc du domaine peuvent entrer sur le réseau. Je pense que ceci ce configure sur le serveur dns mais je ne sais pas du tout comment faire, je trouve rien sur internet.
Merci d'avance pour votre aide.
A voir également:
- Securiser un domain
- Comment sécuriser un dossier sur pc - Guide
- Comment enlever le mode securisé dans un android - Guide
- Comment trouver le code d'un wifi sécurisé sur android - Guide
- Comment envoyer un mail sécurisé gmail - Guide
- Sortir un pc du domaine - Forum Windows
17 réponses
Bjr,
Après avoir fais l'étude complete de ton architecture, tu vas dans la GPO et tu crées des Unités d'Organisation (UO) et tu affecte les utilisateurs et PC, ensuite tu définis les droits à chaque UO suivant ce que tu veux.
Après au niveau serveur du serveur DHCP, tu déclare les adresses IP et MAC des PC qui doivent se communiquer à travers le LAN.
Ainsi, chaque PC qui doit intégre ton réseau doit être déclaré en IP et MAC avec commentaire pour ne pas se perdre dans la gestion (controle).
Là, tu viens de créer un beton en acier sans aller plus en profondeur.
Après avoir fais l'étude complete de ton architecture, tu vas dans la GPO et tu crées des Unités d'Organisation (UO) et tu affecte les utilisateurs et PC, ensuite tu définis les droits à chaque UO suivant ce que tu veux.
Après au niveau serveur du serveur DHCP, tu déclare les adresses IP et MAC des PC qui doivent se communiquer à travers le LAN.
Ainsi, chaque PC qui doit intégre ton réseau doit être déclaré en IP et MAC avec commentaire pour ne pas se perdre dans la gestion (controle).
Là, tu viens de créer un beton en acier sans aller plus en profondeur.
Au fait c'est cette théorie qui est dans ta tête qui tu dois implémenter dans le serveur!
Après reservation des IP et MAC as tu verouiller la suite?
Après reservation des IP et MAC as tu verouiller la suite?
Stp aide moi a configurer mon UO. J'ai créer une UO, j'ai ajouter mes pc dedans. Maintenant je fait comment pour que seulement ces pc ai accès a mon réseau?
Ok je viens de trouver, tout est expliquer ici : http://infoasm.neuf.fr/Securite/SecuSer/Securite%20des%20Service.htm
Je ne vais pas installer ca pour l'instant. Merci quand meme.
@+
Je ne vais pas installer ca pour l'instant. Merci quand meme.
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pour créer les UO tu fais:
Dans Utilisateurs et ordinateurs AD,
Clic droit sur le nom de domaine,
nouveau
Unité d'organisation ou Organizational Unit
Tu donnes un nom
Exemple pour les comptables:
tu donnes COMPTABILITE
Informatique : INFORMATIQUE
Marketing: MARKETING...
Puis tu clic droit sur une UO et nouveau User ou Utilisateur et tu ajoute les comptables dans l'UO COMPTABILITE
Tu ajoute aussi tous les PC comptable dans COMPTABILITE, leur imprimante...
ainsi de suite....
Quand je te dis tu définis une politique globale à l'UO, donc clic droit sur l'UO, propriétés et tu définis les droits qui vont s'appliquer à toute cette UO créée.
N'oublies pas qu'à l'intérieur d'une UO, tu peux créer d'autres sous UO. Par exemple DIRECTEURS et tu places tous les directeurs là dedans et tu définis leur droits de sorte qu'ils n'affectent pas l'UO racine.
De là, tu viens de bien gérer tes utilisateurs et PC suivant une architecture professionnelle.
Ta première question: " VEROUILLER"?
J'ai utiliser cette expression pour te faire comprendre que tu ordonnes à ton serveur DHCP de distribuer uniquement les IP qu'aux PC déclarés suivant la règle prétablie par toi.
Comment ça, si un pc inconnu veut accéder à ton réseau, le serveur DHCP en vérifiant sa stratégie de sécurité, ne va jamais lui attribuer une adresse. C'est CA TON SOUCI DE BASE si je ne me trompe pas!!!!
VERROUILLER c'est aussi DECLARER RIEN QUE LA PLAGE DES ADRESSES IP CORRESPONDANTS AU NOMBRE DE PC+1, "1" étant un routeur en static bien sûr!
Là tu auras le controle total, chaque nouveau qui doit être ajouter au réseau necessite l'EXTENSION DE LA PLAGE AUTORISEE.
Si tu as encore d'autres questions, n'hésite pas!
N'oublies pas qu'avec le controle par UO, tu peux dire que l'UO MARKETING NE PEUX PAS ACCEDER AUX RESSOURCES DE l'UO COMPTABILITE, SEUL LE SOUS UO DIRECTEUR PEUX ACCEDER. L'UO INFORMATIQUE PEUX ACCEDER PARTOUT, SAUF... c'est jsute pour te donner une idée. Enfin, tu n'auras pas à chercher trop souffrir sur ta SECURITE.
Dans Utilisateurs et ordinateurs AD,
Clic droit sur le nom de domaine,
nouveau
Unité d'organisation ou Organizational Unit
Tu donnes un nom
Exemple pour les comptables:
tu donnes COMPTABILITE
Informatique : INFORMATIQUE
Marketing: MARKETING...
Puis tu clic droit sur une UO et nouveau User ou Utilisateur et tu ajoute les comptables dans l'UO COMPTABILITE
Tu ajoute aussi tous les PC comptable dans COMPTABILITE, leur imprimante...
ainsi de suite....
Quand je te dis tu définis une politique globale à l'UO, donc clic droit sur l'UO, propriétés et tu définis les droits qui vont s'appliquer à toute cette UO créée.
N'oublies pas qu'à l'intérieur d'une UO, tu peux créer d'autres sous UO. Par exemple DIRECTEURS et tu places tous les directeurs là dedans et tu définis leur droits de sorte qu'ils n'affectent pas l'UO racine.
De là, tu viens de bien gérer tes utilisateurs et PC suivant une architecture professionnelle.
Ta première question: " VEROUILLER"?
J'ai utiliser cette expression pour te faire comprendre que tu ordonnes à ton serveur DHCP de distribuer uniquement les IP qu'aux PC déclarés suivant la règle prétablie par toi.
Comment ça, si un pc inconnu veut accéder à ton réseau, le serveur DHCP en vérifiant sa stratégie de sécurité, ne va jamais lui attribuer une adresse. C'est CA TON SOUCI DE BASE si je ne me trompe pas!!!!
VERROUILLER c'est aussi DECLARER RIEN QUE LA PLAGE DES ADRESSES IP CORRESPONDANTS AU NOMBRE DE PC+1, "1" étant un routeur en static bien sûr!
Là tu auras le controle total, chaque nouveau qui doit être ajouter au réseau necessite l'EXTENSION DE LA PLAGE AUTORISEE.
Si tu as encore d'autres questions, n'hésite pas!
N'oublies pas qu'avec le controle par UO, tu peux dire que l'UO MARKETING NE PEUX PAS ACCEDER AUX RESSOURCES DE l'UO COMPTABILITE, SEUL LE SOUS UO DIRECTEUR PEUX ACCEDER. L'UO INFORMATIQUE PEUX ACCEDER PARTOUT, SAUF... c'est jsute pour te donner une idée. Enfin, tu n'auras pas à chercher trop souffrir sur ta SECURITE.
Ok je comprend un peu mieux. Mais la en fait les pc sont des pc portables, il sont bien intégrer au réseau mais ils ouvrent une session local car ils doivent pouvoir accéder a leurs données, logiciel et leur bureau tout le temps. Le lien que j'ai poster dernièrement explique la meme chose que toi? car a ce que j'ai compris, si je suis ce qu'il dit, il faut que je configure les droits des services que je veux restreindre. Ca me semble bizzar.
En suite au niveau de la gestion des ip. Un routeur modem 192.168.1.1, le serveur 192.168.1.10, les dhcp du serveur a une plage de 192.168.1.20 > 192.168.1.49, les ip 192.168.1.20 >.24 sont réserver pour les clients en local. La plage 192.168.1.50 > .59 est configurer dans routage et accès a distance pour les clients vpn. Pis voila, maintenant je ne sais pas comment faire pour bloquer les ip non utiliser, je pensais que ca se faisait sur le serveur dns. Et si un client inconnu du réseau se branche mais qu'il est en ip fixe, il a accès au réseau avec ta solution?
Ca fait un paquet de question, mais bon je compte sur toi :D
Merci d'avance
En suite au niveau de la gestion des ip. Un routeur modem 192.168.1.1, le serveur 192.168.1.10, les dhcp du serveur a une plage de 192.168.1.20 > 192.168.1.49, les ip 192.168.1.20 >.24 sont réserver pour les clients en local. La plage 192.168.1.50 > .59 est configurer dans routage et accès a distance pour les clients vpn. Pis voila, maintenant je ne sais pas comment faire pour bloquer les ip non utiliser, je pensais que ca se faisait sur le serveur dns. Et si un client inconnu du réseau se branche mais qu'il est en ip fixe, il a accès au réseau avec ta solution?
Ca fait un paquet de question, mais bon je compte sur toi :D
Merci d'avance
Pour le verrouillage de la plage d'ip, c'est bon, mais je ne comprend pas pourquoi il faut mettre le routeur dans la plage d'adresse. Sinon comme je l'ai dit juste avant, avec cette technique un client inconnu ne peu pas obtenir d'ip par le dhcp mais en ip fixe, il peu, comme faire pour que meme en ip fixe il ne rentre pas dans le réseau?
Bjr,
Au fait, le but de la réservation des IP impose une stratégie de sécurité plus accrue, dans la mesure où l'authentification des PCs se base sur leur adresse MAC. Sachant qu'une adresse MAC est unique, alors la même adresse ne sera affecté qu'à celui-ci!
En plus, seul les adresses MAC des PC déclarés dans le serveur DHCP peuvent obtenir des IP.
Donc, si un pc inconnu venait de se connecter à votre réseau, avec une adresse fixe, celui-ci ne poura rien faire car cette adresse ne lui appartient pas du tout par vérification de son ADRESSE MAC (inconnu du serveur DHCP).
Après avoir effectué ces opérations d'affectation des IP+MAC au serveur DHCP, alors les adresses non utilisées (plage par exemple), feront d'une exclusion dans la partie ADRESSE IP ou PLAGE IP à exclure du réseau. N'oublies pas que même tes routeur et clients vpn doivent être renseignés dans ta stratégie IP+MAC pour accéder à ton réseau.
Alors, les adresses IP (plages) excluses ne peuvent pas être autoriser à se connecter sans TON AUTORISATION au réseau (ajout ou extension IP+MAC d'un ou plusieurs PC ou routeur).
Poura ta dernière inquiétude, comment veux-tu que l'adresse IP du routeur "en static" intègre ton réseau si tu ne déclare pas son adresse MAC ? Routeurs, PCs TOUT DOIT ETRE DECLARE!
Le but c'est de disposer d'une sécurité en gestion des IP+MAC correspondante au nombres des PC et routeurs à gérer. "CHAQUE PC QUI DOIT INTEGRER LE RESEAU SON ADRESSE MAC DOIT ETRE DECLAREE ET UN IP LUI EST AFFECTE.
ATTENTION: un serveur DNS, est un service essentiel assurant la conversion des NOM DE DOMAINE en ADRESSE IP, il n'a rien avoir avec ta situation. Ne pas confondre DHCP et DNS!!!!
Au fait, le but de la réservation des IP impose une stratégie de sécurité plus accrue, dans la mesure où l'authentification des PCs se base sur leur adresse MAC. Sachant qu'une adresse MAC est unique, alors la même adresse ne sera affecté qu'à celui-ci!
En plus, seul les adresses MAC des PC déclarés dans le serveur DHCP peuvent obtenir des IP.
Donc, si un pc inconnu venait de se connecter à votre réseau, avec une adresse fixe, celui-ci ne poura rien faire car cette adresse ne lui appartient pas du tout par vérification de son ADRESSE MAC (inconnu du serveur DHCP).
Après avoir effectué ces opérations d'affectation des IP+MAC au serveur DHCP, alors les adresses non utilisées (plage par exemple), feront d'une exclusion dans la partie ADRESSE IP ou PLAGE IP à exclure du réseau. N'oublies pas que même tes routeur et clients vpn doivent être renseignés dans ta stratégie IP+MAC pour accéder à ton réseau.
Alors, les adresses IP (plages) excluses ne peuvent pas être autoriser à se connecter sans TON AUTORISATION au réseau (ajout ou extension IP+MAC d'un ou plusieurs PC ou routeur).
Poura ta dernière inquiétude, comment veux-tu que l'adresse IP du routeur "en static" intègre ton réseau si tu ne déclare pas son adresse MAC ? Routeurs, PCs TOUT DOIT ETRE DECLARE!
Le but c'est de disposer d'une sécurité en gestion des IP+MAC correspondante au nombres des PC et routeurs à gérer. "CHAQUE PC QUI DOIT INTEGRER LE RESEAU SON ADRESSE MAC DOIT ETRE DECLAREE ET UN IP LUI EST AFFECTE.
ATTENTION: un serveur DNS, est un service essentiel assurant la conversion des NOM DE DOMAINE en ADRESSE IP, il n'a rien avoir avec ta situation. Ne pas confondre DHCP et DNS!!!!
Bjr,
Au fait, le but de la réservation des IP impose une stratégie de sécurité plus accrue, dans la mesure où l'authentification des PCs se base sur leur adresse MAC. Sachant qu'une adresse MAC est unique, alors la même adresse ne sera affecté qu'à celui-ci!
En plus, seul les adresses MAC des PC déclarés dans le serveur DHCP peuvent obtenir des IP.
Donc, si un pc inconnu venait de se connecter à votre réseau, avec une adresse fixe, celui-ci ne poura rien faire car cette adresse ne lui appartient pas du tout par vérification de son ADRESSE MAC (inconnu du serveur DHCP).
Après avoir effectué ces opérations d'affectation des IP+MAC au serveur DHCP, alors les adresses non utilisées (plage par exemple), feront d'une exclusion dans la partie ADRESSE IP ou PLAGE IP à exclure du réseau. N'oublies pas que même tes routeur et clients vpn doivent être renseignés dans ta stratégie IP+MAC pour accéder à ton réseau.
Alors, les adresses IP (plages) excluses ne peuvent pas être autoriser à se connecter sans TON AUTORISATION au réseau (ajout ou extension IP+MAC d'un ou plusieurs PC ou routeur).
Poura ta dernière inquiétude, comment veux-tu que l'adresse IP du routeur "en static" intègre ton réseau si tu ne déclare pas son adresse MAC ? Routeurs, PCs TOUT DOIT ETRE DECLARE!
Le but c'est de disposer d'une sécurité en gestion des IP+MAC correspondante au nombres des PC et routeurs à gérer. "CHAQUE PC QUI DOIT INTEGRER LE RESEAU SON ADRESSE MAC DOIT ETRE DECLAREE ET UN IP LUI EST AFFECTE.
ATTENTION: un serveur DNS, est un service essentiel assurant la conversion des NOM DE DOMAINE en ADRESSE IP, il n'a rien avoir avec ta situation. Ne pas confondre DHCP et DNS!!!!
Au fait, le but de la réservation des IP impose une stratégie de sécurité plus accrue, dans la mesure où l'authentification des PCs se base sur leur adresse MAC. Sachant qu'une adresse MAC est unique, alors la même adresse ne sera affecté qu'à celui-ci!
En plus, seul les adresses MAC des PC déclarés dans le serveur DHCP peuvent obtenir des IP.
Donc, si un pc inconnu venait de se connecter à votre réseau, avec une adresse fixe, celui-ci ne poura rien faire car cette adresse ne lui appartient pas du tout par vérification de son ADRESSE MAC (inconnu du serveur DHCP).
Après avoir effectué ces opérations d'affectation des IP+MAC au serveur DHCP, alors les adresses non utilisées (plage par exemple), feront d'une exclusion dans la partie ADRESSE IP ou PLAGE IP à exclure du réseau. N'oublies pas que même tes routeur et clients vpn doivent être renseignés dans ta stratégie IP+MAC pour accéder à ton réseau.
Alors, les adresses IP (plages) excluses ne peuvent pas être autoriser à se connecter sans TON AUTORISATION au réseau (ajout ou extension IP+MAC d'un ou plusieurs PC ou routeur).
Poura ta dernière inquiétude, comment veux-tu que l'adresse IP du routeur "en static" intègre ton réseau si tu ne déclare pas son adresse MAC ? Routeurs, PCs TOUT DOIT ETRE DECLARE!
Le but c'est de disposer d'une sécurité en gestion des IP+MAC correspondante au nombres des PC et routeurs à gérer. "CHAQUE PC QUI DOIT INTEGRER LE RESEAU SON ADRESSE MAC DOIT ETRE DECLAREE ET UN IP LUI EST AFFECTE.
ATTENTION: un serveur DNS, est un service essentiel assurant la conversion des NOM DE DOMAINE en ADRESSE IP, il n'a rien avoir avec ta situation. Ne pas confondre DHCP et DNS!!!!
Ok, mais comment je fait pour attribuer des ip au client vpn avec mon dhcp, dans la config de routeur et accès a distance on peut simplement définir une plage, c'est le serveur vpn qui distribue les ip, et non mon dhcp, mais je peut lui configurer un serveur dhcp si je ne me trompe pas. Mais le probleme est quel mac adresse mettre car les client vpn on une mac adresse? Si oui ce n'est pas la meme que la carte réseau?
Aussi, ou est ce que l'on entre les plages d'adresse a exclure?
Aussi, ou est ce que l'on entre les plages d'adresse a exclure?
Bon pour le verrouillage des ip j'ai trouver, et je me suis planter, j'ai plus accès a mon serveur, ce que j'ai fait c'est que j'ai ajouter dans la liste des réservation mon serveur et j'ai mis la config réseau en automatique, mais j'ai du me planter dans la mac adresse, résultat, plus rien, impossible d'aller sur mon serveur. Faut que je prenne un écran chez moi et que je monte le déplanter sur place. Pas cool. Sinon pour le VPN j'ai trouver comment faire attribuer les ip par le dhcp, mais j'ai pas pu voir la mac adresse que j'ai en vpn, j'avais bloquer trop d'ip, et oué je l'ai pas bloquer a moiter :D
Bjr,
Je ne trouve pas ta situation complexe sur le refus d'accès à ton serveur. Tu peux encore te connecter à ton serveur sans problème. Tu fais ping_nom_de_ton_serveur et il va te renvoyer l'adresse IP de celui-ci et tu l'attaque via le mstsc de Windows. Tu rectifie l'adresse MAC c'est tout!!!!
Tout de même tu peux aussi SCANNER tout ton réseau. Là, tu auras les noms d'hôtes + adresse IP et tu trouveras où il se cache ton serveur. Rappelles-toi que le serveur doit etre en IP STATIC, tout comme le routeur si tu en dispose.
Je sais que tu vas arriver, et j'en suis convaincu personnellement, alors du courage plonges-toi et concentres-toi bien!!!
;)
Je ne trouve pas ta situation complexe sur le refus d'accès à ton serveur. Tu peux encore te connecter à ton serveur sans problème. Tu fais ping_nom_de_ton_serveur et il va te renvoyer l'adresse IP de celui-ci et tu l'attaque via le mstsc de Windows. Tu rectifie l'adresse MAC c'est tout!!!!
Tout de même tu peux aussi SCANNER tout ton réseau. Là, tu auras les noms d'hôtes + adresse IP et tu trouveras où il se cache ton serveur. Rappelles-toi que le serveur doit etre en IP STATIC, tout comme le routeur si tu en dispose.
Je sais que tu vas arriver, et j'en suis convaincu personnellement, alors du courage plonges-toi et concentres-toi bien!!!
;)
Salut, je pensai pas que c'été possible de resoudre le probleme, le probleme est que meme avec son ip j'arrive pas a me connecter a mon serveur. Quand je ping mon serveur j'obtien bien son ip mais il ne repond pas au ping. Il est possible de se connecter en bureau a distance avec l'adresse mac car se serai ma solution?
Sinon on pourai se retrouver sur un chat, ca irai plus vite pour communiquer.
Merci d'avance.
PS : mon adresse email : xanztra@oraznge.fr sans les z
Sinon on pourai se retrouver sur un chat, ca irai plus vite pour communiquer.
Merci d'avance.
PS : mon adresse email : xanztra@oraznge.fr sans les z
Sinon j'ai reusit a obtenir ca mac adresse par la table ARP du routeur. Je ne sais pas quoi faire, j'ai son ip, ca mac adresse mais il ne repond pas au ping, et impossible de se connecter a lui par son ip. Je te rappel que j'ai bloquer toutes les ip du reseau dans le dhcp.
Merci d'avance.