Bonjour, à ma copine qui me demandait les risques de laisser un mot de passe vide quand on bosse en administrateur sous xp pro, je n'ai pu que lui renvoyer des unixeries peu claires qui ne l'ont pas convaincue. Qques arguments béton de bons connaisseurs windows ? des virus, des troyens, des processus foireux ? (et pas de morale "il ne faut jamais bosser en administrateur", merci). Boris
Les réponses au message de Boris (boris@SUS-AU-SPAMpi314.net)
On 8 oct, 18:13, Boris wrote: > Bonjour, > à ma copine qui me demandait les risques de laisser un mot de passe vide > quand on bosse en administrateur sous xp pro, je n'ai pu que lui > renvoyer des unixeries peu claires qui ne l'ont pas convaincue. > Qques arguments béton de bons connaisseurs windows ? des virus, des > troyens, des processus foireux ? (et pas de morale "il ne faut jamais > bosser en administrateur", merci). > Boris
tout programme s'exécutant dans cet environnement (admin donc) aura des droits admins ... donc tout programme malveillant aussi, se facilitant donc la vie pour la propagation et l'implantation. De plus, les accès aux fichiers sont facilités, donc destruction, altération toussa ...
sans présager des éventuelles menaces externes, controle a distance du poste, vol de données etc etc ...
On 9 oct, 20:45, Fabien LE LEZ wrote: > On 09 Oct 2007 08:25:10 GMT, ewildem...@gmail.com: > >tout programme s'exécutant dans cet environnement (admin donc) aura > >des droits admins ... > Et ça change quelque chose s'il y a un mot de passe ?
apres relecture, réponse hors sujet merci de souligner ce fait, plutot orienté "utilisation des comptes administrateurs en tant qu'utilisateur d'un poste de travail"
>à ma copine qui me demandait les risques de laisser un mot de passe vide >quand on bosse en administrateur sous xp pro, je n'ai pu que lui >renvoyer des unixeries peu claires qui ne l'ont pas convaincue. >Qques arguments béton de bons connaisseurs windows ? des virus, des >troyens, des processus foireux ?
Je ne pense pas que ça pose de problèmes particuliers, parce que XP, par défaut, interdit pas mal de choses à distance aux comptes sans mot de passe. Ce qui est en revanche un *énorme* problème, c'est d'avoir ne serait-ce que l'idée d'utiliser un compte sans mot de passe. Parce qu'on commence comme ça, et ensuite dans la foulée on autorise le FTP à "administrateur" sans pass, puis VNC sans pass, etc etc etc, et là c'est même pas un risque, c'est une certitude de se retrouver avec une machine compromise dans les 10 mn. Donc c'est très simple : tu dis à ta copine qu'un compte, administrateur ou pas, sans un passe, et un robuste, ça n'existe pas. Simple question d'habitude de sécurité de base. -- Nina
>Je ne pense pas que ça pose de problèmes particuliers, parce que XP, >par défaut, interdit pas mal de choses à distance aux comptes sans mot >de passe.
Et de toutes façons, le firewall interdit tout accès depuis une machine extérieure.
>Ce qui est en revanche un *énorme* problème, c'est d'avoir ne >serait-ce que l'idée d'utiliser un compte sans mot de passe.
Pour le coup, je ne suis pas d'accord. Ce qui est inadmissible, c'est un compte sans contrôle d'accès. Le contrôle d'accès peut être un mot de passe, une clé SSH, un contrôle d'accès physique (une porte en bois avec une serrure), etc.
>Et de toutes façons, le firewall interdit tout accès depuis une >machine extérieure. Très mauvais raisonnement, tout troyen doté d'un demi neurone s'occupe d'y ajouter une exception :-)
>Pour le coup, je ne suis pas d'accord. >Ce qui est inadmissible, c'est un compte sans contrôle d'accès. >Le contrôle d'accès peut être un mot de passe, une clé SSH, ou un truc à empreintes digitales, toussa...
>contrôle d'accès physique (une porte en bois avec une serrure), etc. Au fond du Larzac sans téléphone ni satellite ni adsl ni rien, pourquoi pas, et si on a l'intention de ne jamais en sortir, pourquoi pas. -- Nina
>>Et de toutes façons, le firewall interdit tout accès depuis une >>machine extérieure. >Très mauvais raisonnement, tout troyen doté d'un demi neurone s'occupe >d'y ajouter une exception :-)
Si l'utilisateur installe un troyen sur sa machine, c'est foutu de toute façon, puisque le troyen a alors tout pouvoir pour détourner les systèmes de protection mis en place (mot de passe ou autre).
>>Pour le coup, je ne suis pas d'accord. >>Ce qui est inadmissible, c'est un compte sans contrôle d'accès. >>Le contrôle d'accès peut être un mot de passe, une clé SSH, >ou un truc à empreintes digitales, toussa...
Tu noteras que tous les exemples que j'ai donnés sont des systèmes d'authentification révocables.
>>contrôle d'accès physique (une porte en bois avec une serrure), etc. >Au fond du Larzac sans téléphone ni satellite ni adsl ni rien,
Pourquoi sans téléphone ? N'importe quel OS est capable de faire la différence entre un accès par la console physique (clavier, souris) et un accès distant.
Typiquement, tout accès depuis le réseau à un service quelconque d'une station de travail doit être interdit, ce qui supprime l'utilité d'une authentification pour un accès distant. Reste l'authentification pour l'accès à la console, et là, une protection physique (porte et serrure) me paraît convenir.
>Typiquement, tout accès depuis le réseau à un service quelconque d'une >station de travail doit être interdit, ce qui supprime l'utilité d'une >authentification pour un accès distant.
Surement, Fabien, sauf que là on parle du PC de la copine de l'OP... ;--- Nina
>Surement, Fabien, sauf que là on parle du PC de la copine de l'OP...
Certes. Mais si le firewall n'est pas activé et configuré correctement, autant laisser tomber toute discussion sur la sécurité et sur les mots de passe.
Le Wed, 10 Oct 2007 13:40:51 +0000, Fabien LE LEZ a écrit :
> Certes. Mais si le firewall n'est pas activé et configuré > correctement, autant laisser tomber toute discussion sur la sécurité > et sur les mots de passe.
Et si l'utilisateur n'a pas de service accessible et ne surfe pas n'importe comment (comment ça déjà pas avec IE? Tous doivent être mis a jour -et IE évité ;) - ) et fais gaffe à ce qu'il fait de ses emails?
Vulnerabilite.com ne peut être tenu responsable des propos tenus dans le Newsgroup fr.comp.securite
Message de Ewildemann@gmail.com (09 Octobre 2007)
Les lecteurs de ce livre lui attribuent une note moyenne de 2/5.<
/font>