Laboratoire Microsoft |  Blog |  Webcast |  Students Club |  FaqXP  |  CertifExpress 
 Le Forum de Référence sur les Technologies Microsoft - http://www.forum-microsoft.org

sécuriser compte administrateurs

Un forum pour parler de tout ce qui a trait à la sécurité

Modérateurs: Nebil-b, ygainche, Modérateurs_Divers

Règles du forum
Publier une réponse

sécuriser compte administrateurs

Messagepar gangrel sur Ven 02 Fév 2007, 14:18

bonjour,


Je suis entrain de faire l'inventaire des différentes solutions dans mon infrastructure pour sécuriser les comptes administrateurs du domaine.

Jusque la j'ai trois solutions:

* création d'un deuxieme compte uniquement pour les taches d'admins et utilisation du runas pour les taches d'admin. MDP sur 12 caractères avec critères de complexité imposés par GPO
* Authentificaton forte par carte à puce pour les comptes admins en accès local et remote desktop
* Authentification biométrique pour les comptes admins.

Mes questions sont les suivantes:

- Quelle est selon vous la meilleure solution?
- Comment gérer les accès en prise de main a distance avec Rdesktop ou TS, ou Netop lorsque l'on parle de carte a puce ou d'authentification biométrique???


Disposez vous de docs la dessus?

J'ai déja téléchargé les guides de microsoft sur la mise en place de la sécurisation des comptes admins + cartes à puces. Mais de la doc faisant le parallele entre les solutions serait un plus!


Quelles sont vos expériences face à ce probleme?

Notre archi:

7 domaines Active directory Mono foret mono domaine Windows 2000 server (bientot migré en 2003 server)
Les domaines sont étanches et nos comptes dans TOPSECRET sur serveur MVS avec passgo comme SSO pour synchroniser les passwords entre les domaines.

Merci d'avance pour vos réponses
Guillaumeg
Avatar de l’utilisateur
gangrel
Full Member
Full Member
 
Messages: 208
Inscrit le: Mar 12 Oct 2004, 11:33
Haut

Messagepar PingMaster sur Ven 23 Fév 2007, 16:26

Je n'ai jamais eu la chance de tester l'authentification par carte a puce mais je peux repondre a quelques questions posees ici :

- Desactiver le compte "administrateur" tout en lui attribuant un mot de passe complexe.
- Eviter a tous prix d'inclure le groupe "admin du domaine" dans les groupes locaux "administrateurs" des stations et autres serveurs autonomes.
Pourquoi ? Si un utilisateur pose un script en RUN a l'ouverture de session qui necessite les privileges administrateurs du domaine, tu vas executer le script sans t'en rendre compte et peux introduire toutes sortes de problemes lies a la securite.

Les personnes en charge du support et devant controler les Windows a distance devraient le faire en utilisant un groupe specific. Lorsqu'ils ont besoin de proceder a des operations administratives, dans ce cas, ils utilisent RunAS, mais ne jamais se logguer via un compte admin directement (Localement ou a distance).

- Chaque administrateur devrait avoir un compte admin a son nom, a utiliser uniquement lorsque cela est necessaire, plus un compte utilisateur lambda pour ses taches quotidiennes.
PingMaster
Full Member
Full Member
 
Messages: 220
Inscrit le: Mer 07 Fév 2007, 19:15
Localisation: Dublin, Ireland
Haut
Publier une réponse

Retourner vers Sécurité

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invités

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by phpBB.fr © 2007, 2008 phpBB.fr
phpBB SEO


Accueil | News | Articles | Tips | Outils | FAQ XP | Certification | Easters Eggs
Essentiels | Top Sites | Glossaire | Vidéos | Whitepapers | Essentiels | Boîte à Scripts
Conditions d'utilisation é Copyright | Respect de la vie privée