Bonjour,
 
alors voilà,
 
dans un Lycée j'adminsitre un serveur 2003 avec des postes Windows XP pro sur un domaine AD.
Chaque étudiant possède son compte avec des accès lmité en local et sur leur partage.
 
J'ai laissé volontairement un répertoire local en écriture en cas de plantage du réseau.
Les étudiants se sont bien entendu précipités pour y coller leurs jeux (dans la salle libre accès).
J'ai  durcit un peu la stratégie en y ajoutant en pare feu local pour empêcher le jeu en réseau.
Puis quelques restrictions MD5 sur les jeux courramment utilisés.
 
Malheuruesement, ça n'a pas duré longtemps. Un utilisateur particulièrement bidouilleur a trouvé le moyen de me créer un compte local administrateur supplémentaire (alors que j'avais désactivé le login admin local). Et à partir de là, y'a plus grand chose à faire malheureusement....
Les postes CLients sont régulièrement mis à jour avec WSUS.
 
J'ai durcit encore la GPO du parefeu en interdisant les exceptions des programmes locaux.
puis viré tout ce qui est boot en dehors du DD via le BIOS et protégé avec un mot de passe. Truc que j'aurais dû faire tout de suite mais quand on veut aller vite, on en patit après...
 
Vous voyez autre chose?
Peut on détecter qui est cet utilisateur particulièrement pénible? J'aimerais bien lui remonter les bretelles...
Le pire dans tout ça c'est que je n'ai pas vraiement le temps de m'occuper de ça sérieusement... Lui en aura forcément plus que moi pour me trouver des parades (normal quand on est étudiant...).
 
Merci!

Met un papier sur la porte annonçant que la personne qui s'amuse avec les pc seront durement sanctionné. A partir du moment que la personne réussi a se crée un admin local, tu ne risque plus de faire grand chose en effet.
Cassé un pass administrateur est un jeu d'enfant à l'heure d'aujourdhui

Mais je vois pas comment on peut créer un admin en dehors de booter sur la machine via un CD/Clef USB adéquate...
Je vois pas non plus l'intérêt de cracker le mot de passe d'un utilisateur désactivé.
 
Bon apprement il a une bonne connaissance de la base de registre car il m'a bloqué les partages adminsitratifs sur 3 postes et viré les droits sur le répertoire de gpedit.. Il m'a collé un sniffer aussi... Bon sur un réseau switché et segmenté les dégats possibles sont en théorie limités.
Je vais regénérer tous les postes pour être plus tranquille...
 
C'est la première fois que je suis confronté au problème.
Tant que je n'aurais pas trouvé qui c'est, Je suis un peu perdu sur la marche à suivre.
Forcer tous les utilsateurs à changer leur mot de passe?
Fermer la salle libre accès?
 
Merci. Effectivement, il faut espérer qu'un message de ce genre peu le calmer. Il n'a sans doute pas conscience de la gravité de ses actes.
Je tenterais d'en parler à la direction....
 
A suivre...

 
Faux. Mais c'est possible parfois en effet.

 
 
Es-tu sûr qu'il a cassé le mdp admin local et non qu'un prof avec compte admin local ait pu lui refiler ses identifiants ?
Ou encore qu'il n'a pas récupéré un identifiant admin local à l'aide d'un keylogger ?

Piege le !
 
laisse le compte admin local qu'il utilise ouvert et mets à son ouverture de session un script qui t'envoie un mail (perso je peux recevoir des mails sur mon portable). Hop, tu recois le mail, tu fonces dans la salle. Pris sur le fait

Et dans l'absolu, prépare une Charte d'utilisation à signer par les étudiants et vois avec la direction les éventuelles sanctions à filer à celui/ceux que tu vas choper.

 
 
c est la premiere chose a faire en effet.
 
apres, le coup du mail est pas mal, tu dois pouvoir envoyer le nom de la machine pour savoir sur laquel il est exactement
 
desactive boot  autre que sur le HD. mot de passe  dans le setup et cadena sur les boitiers.
 
un petit sniffer reseau aussi dans la piece pour te prevenire quand des trames de jeux commence a circuler.
 
 
mas  si les eleves ont pas signé n'ont pas été invité a signer la charte, tu ne peux entrevoir aucune sanction

ah oui, puis tu colle un papier sur la port :
 
 
en raison d intrusion pirates, les salle en acces libre seront fermé pour les x prochaines semaines pour des raisons technique
 
la, generallement, celui qui a fait ca, tout le monde le connait (c est le genre a s en venter) et va le charrier

 
Oui, car les profs n'ont pas plus de pouvoir que les étudiants. Y' pas de raison valble pout qur ce soit autrement...
 

 
J'y avait effectivement pensé mais d'une autre manière.. La tienne est pas mal    
Mais c'es trop tard car, j'ai colé un script de démarrage machine GPO qui sucre le compte en question automatiquement... Par contre s'il y arrive à nouveau avec un autre compte, j'y penserais...
 

 
ça c'est déjà fait à chaque rentrée. De ce côté là, on est décker. Par contre y'a pas vraiment de suivi derrière. Faudra que je prévoit de faire une petite appli au secrétariat qui coche les étudians qui on bien rendu et passé une date, désactiver tous les comptes qui ne l'ont pas rendu...
 
On verra dans le temps si les jeux reviennent. Dans l'absolu, je n'ai rien contre les jeux mais y'a une limite à ne pas dépasser ce qui est le cas. Les étudiants ne font plus que ça après et pou travailler à côter des joueurs qui braillent, devant CS, c'est plus trop possible et là c'est grave.
Je vous tient au courant.
 
Merci à vous  

Pense aussi à avoir des mdp admin complexes d'une longueur de plus de 8 caractères.
Avec majuscules/minuscules/chiffres/caractères alphanumériques
 
Evite de les saisir en dehors de l'ouverture de session windows sur d'autres postes que le tiens.
 
As-tu un AV réseau avec remontée d'infos vers un serveur ?
Perso j'utilise la Symantec Corporate et avec la dernière version elle repère aussi les keyloggers, soft de contrôle à distance, ...

Et puis comme l'a dit Z_cool, colle un papelard sur la porte pour avertir de tentative d'outrepassement de la politique de sécurité et des importantes sanctions encourues par l'auteur.
 
Par contre, perso je ne fermerai pas la salle.

non, c'est s'avouer un peu facilement vaincu.
 
En tout cas il y a visiblement de grosses lacunes dans la sécurité du poste. Commence par faire un master un tant soit peu fiable.

 
De quoi ? De ne pas fermer la salle ?

non, de la fermer au contraire : j'ai pas de solution alors je bloque tout le monde.
Le pseudo pirate n'est pas montré du doigt, en revanche l'admin est immédiatement reconnu d'incompétence.
 
Et que les choses soient claires, une sécurité cohérente sur un PC windows est beaucoup plus aisée que sur un poste mac ou linux.

A partir du moment que tu as un accés physique à la machine, celui qui connais assez bien l'os fait ce qu'il en veux. Après c'est à toi de mettre des batons dans les roues pour ralentir voir effacé ce genre de chose.
 
Je pense qu'une bonne fermeture de salle remettrai les choses en place rapidement.  
Je me rappelle pour mon cas il y a quelques années qu'on avais eu le droit à ue fermeture de 3 mois, ça fais mal au fesse.

 
non vrai ! que ce soit sur un pc en local (live cd style ERD  commander par exemple)
ou sur la Sam d'un domaine quand on sait comment en recuperer une copie et qu'on a le bon soft derriere pour l'utiliser.
 
pour un lambda c'est peut etre pas evident (encore que apres quelques minutes de recherche sur google...)
mais pour un tech en info c'est pas ben dur...

 
Lycée public ?
 
Ya pas de SLIS dans ton lycée ?
 
Le domaine AD est géré par un programme tiers  genre IACA/Geronimo/gunt/ESU ?

non c'est faux et archi faux!
 
Une machine correctement sécurisée, sans accès au hardware, peut-être extrèmement difficile à pirater.
 
Il existe des solutions clés en main quand on ne connais pas assez l'OS pour remplacer explore.exe et permettre de contrôler l'ensemble des paramètres.
Mais au final toutes les version 2k/xp de ces logiciels ne font ni plus ni moins que s'interfacer sur les APIs windows, les activeX et autres stratégies locales/paramètres de base de données.
 
Un controle strict des logins, des accès aux disques et aux médias, un contrôle réel des applications (hash md5 etc...) et des accès aux ressources ne permet pas à un utilisateur aussi doué soit-il de passer outre et de prendre la main sur le poste.
 
Là ou il y a un echec de la sécurisation, ce n'est pas le pirate qu'il faut féliciter mais l'admin qui est médiocre (voire pire).
 
Une station de travail doit être correctement verrouillée, et ca ne consiste pas uniquement à cocher des cases dans gpedit.msc.

SLIS? ma bête noire

"Une machine correctement sécurisée, sans accès au hardware, peut-être extrèmement difficile à pirater."
 
 
On est bien d'accord la dessus alors, donc pas d'accés hardware annonce bien pas d'accés au lecteur cd. Si c'est la cas, je suis entierement d'accord.
Sinon je te garanti qu'un accés physique au lecteur CD te permet de faire sauté des sécurités quelques soit l'OS si la personne la connais un temps soit peu. Le recrudescance des cd live ne nous permet plus une véritable sécurité sur un PC que tu as accés en physique.
 
Mais à partir du moment que tu petes ces sécurités, la tu na pas moyens d'accés au ressources disponibles sur un réseau comme l'AD
 

oui, on est d'accord, pas d'accès au hardware : ni CD, ni USB, rien.
 
De toute façon le plus simple dans le cas d'utilisateurs x et y incontrolables, c'est le terminal passif ou le bureau déporté.

 
 
NON.
 
Et la "SAM" d'un domaine ne veut rien dire. Un domaine = AD
 
Il est possible de casser les chiffrements de mdp non complexes sur une base SAM (ce qui signifie les comptes locaux ! )
 
Et puis encore faut-il pouvoir récupérer cette base SAM (ie le bon fichier) !
Avec les bonnes sécus, bonne chance !
 
Enfin faut faire le tout sans se faire choper. Le jeu en vaut rarement la chandelle sauf pour les idiots qui parient sur l'incompétence de l'admin.
 
 
Et pour ceux qui continuent à affirmer qu'on peut casser le mdp admin d'une base SAM, je propose de leur fournir un exemplaire. A eux de prouver qu'ils ont raison

La c'est du radicale

 
 
on est d'accord

bien sur que c'est faisable, après tout dépend du chiffrement.
 
m'enfin là n'est pas la question, la machine est de toute évidence non protégée et l'admin est en cause, tout simplement.
Une machine sécurisée ne permet pas l'accès aux ressources systèmes.

 
Pas la SAM du domaine, mais la SAM du pc local qui est pas bien compliqué à pété.

 
 
Y'A PAS DE "SAM du domaine" !
 
partant pour un test si je te fournie une base SAM ?

 
Mais non c'est bieennnn.
 
(bon, un jour sortira SLIS 4.0)
 
Et faudra passer tous les SLIS 3.2 en 4.0

Qui te parle de déchiffrement, ta possibilité de reseté le passe admin.
 
Edit: je lai employer X fois à mon taf, pour rentrer sur l'os quand un utilisateur a changé le passe de l'admin local et quil est sorti du domaine.

j avais vu une video qui permettait a n'importe quel user de devenir admin local en killant explorer avec un invite de commande ouvert
 
avec quelques commandes il devient admin dans l'invite de commande et n'a plus qu'a lancer explorer pour avoir accès a la machine en admin.
 
Je sais que ce n'est pas possible si un truc est desactivé mais je ne me souviens plus quoi
 
video de demonstration
http://youtube.com/watch?v=KY_7F4il_M4

je n'ai pas vraiment travaillé avec mais le rectorat et l'académie voulait que je le mettes en place pour les écoles en vu du BII.
 
j'étais moyennement tenté

 
Encore faut-il pouvoir booter sur autre chose que le HDD !

tout à fait d'accord

 
C'est sur c'est moins bien qu'une solution Homemade.
Mais dans un rectorat avec 1 SLIS = 1 collège / Lycée   les solutions homemade c'est impossible à maintenir.
 
Ya certains SLIS ya personne en interne pour s'en occuper, bref ça tourne tout seul depuis que quelqu'un est venu l'installer.
 
Bah ça tourne  

oui je ne doute pas que ça tourne, mais j'avais vu certains points un peu étrange : maintenance par VPN d'une personne de l'académie notamment.
 
Donc tu peux faire ta conf, y'a un connard de l'académie qui vient te péter ton bordel, d'autant que j'aurais quand même fédéré mon réseaux d'écoles (une petite 30aine d'écoles mat/ele).

Euh, le type du rectorat il a autre chose à faire que de te péter ta "conf"
Ce qui peut éventuellement péter ta conf ce serait les MAJ des SLIS.
 
En manu : on a sérieusement autre chose à faire que d'aller bidouiller un slis qui marche parfaitement.
Et surtout qui ne sont pas de notre domaine d'intervention (écoles mat/ele).
 

oui je sais bien, mais le mec qui nous a fait son topo slis connaissait autant le système que je connais le nom des cratères lunaire
 
bref c'est comme tout : sans intervention humaine ça fonctionne. Donc laissé dans son coin ça déconne, mais sur le forum des collectivités et des solutions open-source & co, y'avait quand même pas mal de personnes qui se plaignaient des mises à jour sauvages

Bah les mises à jours sauvages sont peu légion et entraine peut d'effet de bord.
 
ça me fait penser à un problèmes de "mises à jour" Avant on pouvait parcourir le / du site web du slis (en l'absence d'un index)  et avec la version 3.2 c'est interdit (normal).
 
Bah ça a gueulé, pourtant ce n'est pas un "bug" mais une correction de bug.
 
Bien entendu la mise à disposition du rectorat d'un script php qui fait la liste des fichiers inclus dans ce répertoire ne contente pas les utilisateurs finaux
 

 

oui le problème est toujours l'utilisateur final
 
m'enfin à la base le SLIS me fait chier moi en tant qu'intégrateur : dur de vendre sa solution de filtrage d'URL en faisant face à du gratuit, pis comme la base de Toulouse est la seule validée par le ministère et que les logiciels commerciaux agréés le sont grace à cette base...