Bonjour à tous !
J'administre depuis peu un domaine serveur 2003 / postes XP pro dans un lycée. Depuis quelques jours j'ai un souci : des droits ntfs sont modifiés de façon bizarre. Administrateur du domaine éjecté de plusieurs répertoires (y compris un rep virtuel ftp !), changements de propriétaires, ajout de droits à un utilisateur (qui n'y connaît rien en info et ne peut pas être le responsable). J'ai 3 hypothèses :
 
1- Un rigolo agit en interne grâce à un code volé. J'ai changé celui de l'admin du domaine (c'est moi) et le mien propre. Est-ce suffisant ? Dans la liste de AD ya plein d'administrateurs (du schéma, de l'entreprise...) définis par défaut. Puis-je les virer sans risque, ou au moins les désactiver ? Ils ne me servent à rien.
 
2- Un virus, un ver, un hacker, un cracker, enfin un truc quoi, agissant depuis internet (on a un site géré par le serveur). C'est possible à votre connaissance, de changer les droits ntfs depuis l'extérieur ? Je precise que je suis protégé (enfin j'espère !) par un firewall matériel
 
3- J'ai laissé des élèves configurer un poste sous Linux (hébergement d'un forum sur apache, travaux de recherche sur OS, programmation...). Ce poste accède au réseau et je me demande si ce n'est pas un point faible. Qu'en pensez-vous ?
 
Merci pour vos réponses ! Là, je trouille un peu, mais je n'ai pas trop envie de tout couper...

tu n'as pas des traces ?

Oui, normalement les modifications d'accès sont audités

Vérifie déjà dans le groupe Admins du domaine si tu es seul, ou si il y a d'autres comptes.
Vérifie également le groupe Opérateurs de compte.
Quant aux autre groupes (Admins du schéma, entreprise, etc.), ne les supprime pas, mais vide-les.
 
Quant au poste Linux, si tu n'as aucun moyen de le surveiller réellement, je te conseille effectivement de l'isoler du réseau. Ca évitera les bourdes intentionnelles ou accidentelles.

Ca va leur servir un serveur web etc isolé du reseau...
serieusement, si la politique de sécurité est bonne, les
droits bien positioné etc, je ne voit pas en quoi un poste
linux serait plus dangereux qu'un poste windows.

Parce que c'est un poste monté par les élèves, et qu'il n'a aucune surveillance ni contrôle dessus : va savoir si ils n'ont pas installé des outils de cracking ou autre.

Et alors ? meme si ils sont root sur la machine, je vois pas vraiment ou est le probleme. Voyons voir, qu'est ce qu'ils pourait faire de pire...  
** Lancer des outils type satan etc pour essayer de trouver des failles sur les autres machines du reseau.
-> Pas grave, puisque je suppose que les autres machines sous windows sont a jour au niveau patch etc... donc c'est pas grave.
 
** Lancer un snifeur et sniffer tout le reseau local pour trouver des mots de passe etc
-> Pas grave, car bien sur l'ensemble des mots de passe circulent de facon crypté sur le réseau (pas d'utilisation de logiciel faisant transiter les mdp en clair). De plus, une telle surveillance du reseau doit etre rendu tres, tres déclicate grace à l'utilisation de switch en lieu et place des hubs.
 
Donc je repete, si ta config est "propre" on s'en fiche du linux qui se trouve au milieu. Au contraire, laisse les un peu decouvrir comment ca fonctionne tout ca

Merci pour vos réponses !
Bmenez et FlorentG : J'ai cherché dans l'observateur d'événements, mais je ne comprends pas tout... Où dois-je chercher ? Suis allé m'acheter un bouquin à la FNAC et ai placé un audit sur les accès aux répertoires interdits, on verra. Je m'embusque !
Wolfman : OK, c'est fait. Je suis maintenant le seul administrateur pour de vrai. Ca fait froid dans le dos...
Pour Linux, j'ai exigé le passe root dès le départ (non mais !), j'y suis allé mais je sens qu'il va falloir que j'apprenne Linux pour piger. J'ai essayé de casser le réseau en bidouillant, rien. Envie de suivre le conseil d'Alana jusqu'à ce que je ne puisse plus faire autrement. Des élèves motivés, ça n'a pas de prix !
"bien sur l'ensemble des mots de passe circulent de facon crypté sur le réseau" euh... ça je sais pas. Le seul mment où les mdp circulent c'est à l'ouverture de session, depuis l'intranet ou depuis Internet (le site profs est gardé par droits ntfs). N'y aurait-il pas là possibilité de faille ?Ceci dit le mdp admin n'a été frappé qu'en intranet et jamais devant un tiers, là dessus je suis parano. Or pour accéder aux droits que j'ai vus, fallait être admin ou hacker !
 
Question : Ai-je raison de penser que l'attaque vient de l'intérieur, ou est-il possible de changer les ntfs depuis internet ?
 
Merci à tous !

verifi les droit NTFS, qu aucun utilisateur (hors Admin) n ai Full control

Il est probable que l' "attaque" provienne de l'intérieur Sinon l'audit sur les répertoires et les logins était LA chose à faire.
 
Est-ce que ton site Web utilise un cryptage de type SSL ? Car s itu as autorisé les mot de passe en clair (authentification basqiue), il se peut que le login sur l'intranet passe en clair.
 
Avec le Resource Kit pour IIS 6.0 il y a un utilitaire nommé self-SSL qui permet en  deux coups de cuillères à pot d'ajouter un certificat auto-généré sur le serveur et donc ensuite de crypter tout ce qui passe depuis le serveur Web (tu pourrais aussi monter une autorité de certification ou prendre un certificat chez une boîte spécialisée, mais ca n'a que peu d'intérêt dans ton cas).

Z_cool : j'ai laissé full contrôle dans les espaces privés mais merci du conseil, je vais tester ça.
 
Requin : Dans le mille. J'ai dû activer l'authentification intégrée et même celle de base, vu le nb de gens qui n'arrivaient pas à se connecter. A vrai dire j'y ai pensé, au SSL. Mais j'ai cru comprendre que ça bouffait bcp de ressources côté serveur (Je peux avoir une centaine de connexions simultanées). Vrai ou faux ?

Aucun interet de donner du full control pour les rep perso...le droit de modifier et ce qu il englobe suffit amplement

 
 
full controle, ca vuex dir qu ils peuvent tout fair : donner, retirer les droit (de admin compris), prendre possession, ...
 
il ne faudrait jamais utiliser cette option, les droits en RW est larement assé

 
Ca consomme plus de resources car il faut bien faire le travai lde cryptage... mais à part si ton serveur à une charge processeur constante de plus de 50% tu ne devrais pas sentir de différence.

OK pour full control leçon comprise, c'est fait. Pour SSL j'ai surfé un peu et vu 2 possibilités : serveur apache ou IIS. Côté procédure rien vu de super précis. Quelqu'un a un lien, un titre de bouquin à me conseiller ? Je bricole en live sur le seul serveur dont je dispose, faudrait pas que je fasse trop de conneries...  
En tous cas merci à tous pour les conseils déja reçus !

evites aussi de laisser ton DC sans surveillance ou du moins en accès facile.
en 3 mn et un reboot, il est très facile de récupérer le password admin avec une disquette made in linux. (du moins, sur 2k serveur)

 
 
De changer le password, pas de le recuperer.

Salut I'm Philou !
Coté DC je suis parano depuis le départ, faut piquer 2 trousseaux de clés pour mettre une disquette dedans. La vache, 3 minutes et un reboot ? Donc si un loustic trouve le pwd admin du domaine et le change, ya qd même un moyen de récupérer le truc ? Ca me rassure un peu, je craignais que ce soit irrécupérable...

Pour le SSL regarde du côté de SelfSSL fournit avec le Resource Kit pour IIS 6.0 : http://www.microsoft.com/downloads [...] laylang=en
 
C'est simple à utiliser et pas besoin d'une autorité de certification.
 
Pour piquer le mot de passe de l'admin, en local c'est le fichier C:\windows\system32\config\sam ... mais pour l'admin du domaine c'est un peu plus compliqué. De toute manière dès que tu as accès physique à la machine et que tu peux la rebooter ou la démonter aucune protection tient vraiment longtemps, quelque soit l'OS.

rectification : c'etait pas un DC mais un serveur autonome.
par contre, la disquette permettait bien de récupérer le password. j'ai vu ça en stage, des eleves qui avait paumé le password admin de leur serveur et la prof qui s'est pointé avec la disquette qui va bien et hop apres 5 questions environ, elle avait récupérer le password.
j'ai une copie de la disquette, je la vends au plus offrant !    
 
 

ça permet de changer le pass, et non de le récupérer
 
 
google -> pnordahl
 
désolé pour ta vente philou

Ca marche pour les passwords locaux, pas pour les domaines il me semble.
http://www.bellamyjc.net/fr/pwdnt.html
 
Sur les clients, utilise un mot de passe administrateur different des serveurs, et au passage, bloque le BIOS et les boot sur disquette, CD, USB.

 
 
oui evidement, il attaque les fichiers de la table SAM sur e HD, c est pas possible a distance.