Securite Windows 2003 IPC$

par **Rypclaw** sur Jeu 05 Aoû 2004, 12:12

Bonjour,

J'ai actuellement un serveur 2000 et un serveur 2003, tout deux
controleurs sur le meme domaine, tout les FSMO sont pris par le 2000.

La n'est pas le probleme.

J'ai tester la securite des serveurs avec nessus, boot par knoppix 3.3.

Pour le serveur 2000, il me dit que le partage IPC$ existe mais qu'il n'a pas reussit a y acceder. En faisant un net share sur le IPC$ sur le serveur 2000, je vois qu'il n'y a pas d'utilisateurs de preciser.

Sur le serveur 2003, c'est tout autre chose, nessus arrive a acceder a IPC$ et il me sort toute les infos de l'active directory

. J'ai trouvé quelque point dans les polices de securites, notament pour empecher la consultation de la SAM par les anonymous users, mais c'est pas encore ca

.

Je voudrais modifier les utilisateurs du partage IPC$, actuellement Everyone:Full, en rien du tout comme sur le serveur 2000

Si quelqu'un a une idee je suis preneur.

Merci d'avance :wink:

Profil MVP · par **kazer** sur Jeu 05 Aoû 2004, 12:23

Sujet déplacé

Avant de flipper (surtout avec nessus) tu sais à quoi sert ipc$?

As tu des informations de ton AD que tu souhaites rendre privé?

par **Rypclaw** sur Jeu 05 Aoû 2004, 13:32

Le pb n'est pas que je veux faire sauter IPC sur le serveur 2003.

Le pb est qu'il y a une difference entre le 2000 et le 2003 au niveau de la
protection de ce partage.

Je considere le fait de pouvoir lister toute mon AD(compte utilisateur+id, compte machine, etc...) via ce moyen comme une immense faille de securité.

Pourquoi cela a n'est pas possible dans Windows2000. :?:

Je dois integrer ce serveur 2003 dans ma boite et il se trouve que l'on a des audits de securite, a mon avis ils vont beaucoup apprecier cette faille si je n'arrive pas a boucher le trou

Profil MVP · par **kazer** sur Jeu 05 Aoû 2004, 13:36

Alors vire l'anonymous logon sur ton 2000

par **Rypclaw** sur Jeu 05 Aoû 2004, 13:55

Merci pour ta reponse

Mais plus precisement (Compte, police de securite) ?

par **Rypclaw** sur Ven 06 Aoû 2004, 8:38

Bon voila les conclusions

Pour eviter que l'on puisse lister les comptes user et share via une connexion en null session sur un serveur Win2003, il faut jouer avec la police de securite des controleurs de domaine, ceci a partir du serveur 2003 :!:

.

Computer Configuratuion -> Windows Settings -> Local Policies -> Security Option

Regarder les options commencant par Network Access, plusieurs concernent les connections en anonymous, notamment celle qui permettent de lister les comptes.

Tout cela n'empeche pas de pouvoir recuperer le SID du domaine, ni de lister les hotes de ce dernier, voir dans le futur si on pourrat encore plus restreindre l'acces en Null session sur un 2003

Voila en esperant que cela va aider ceux qui pourraient ce trouver dans le meme cas que moi. :wink:

Securite Windows 2003 IPC$

Securite Windows 2003 IPC$

Qui est en ligne ?