Bonjour à tous,
Nous avons 1 serveur w2003 SR2 et 20 clients xp.
Suite à l'arrivée de deux macs, un prestataire est venu faire des configs
afin que ces machines puissent acceder aux dossiers partagés avec les
autorisations AD.

Pour ce il a modifié des entrées de la base de registre relatives à la
signature des paquets :
Cela se trouve dans
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters
la valeur "EnableSeccuritySignature" a été passée de 1 à 0
et "RequireSecuritySignature" a été passé de 1 à 0.

Savez vous quel impact concret cela a-t-il sur la sécurité ?

merci
Loutox

On Wed, 7 Mar 2007 07:20:55 +0100, "loutox" <babar@babarrrrr.com>
wrote:

>Savez vous quel impact concret cela a-t-il sur la sécurité ?

C'est hypergrave, les paquets n'étant plus signés, tu es désormais
vulnérable à une attaque man in the middle sur ton LAN.
Bon, d'un autre côté, tu as autant de chances d'avoir une attaque man
in the middle sur ton LAN que la terre de se faire détruire par un
astéroïde géant cet après-midi...
Donc aucun souci :-)
--
Nina

Salut et merci de ta réponse.
Bon, faut comprendre le debut ou la fin du message ?

Man in the middle, ça a la cote comme terme, c'est le terme à la mode pour
dire cheval de troie ?

avec un acces entrant terminal server depuis le wan, Puis-je dormir
tranquille ou faut-il monter la garde ?

Le pare-feu qui filtre mes entrées depuis le wan compense-t-il cette manip
sur la BDR ?

le temps sera-t-il beau au printemps ?

Bonne journée
Loutox

"Nina Popravka" <Nina@nospam> a écrit dans le message de news:
fvosu2d2qfd2r1o122oodpue02b95skdki@4ax.com...
> On Wed, 7 Mar 2007 07:20:55 +0100, "loutox" <babar@babarrrrr.com>
> wrote:
>
>>Savez vous quel impact concret cela a-t-il sur la sécurité ?
>
> C'est hypergrave, les paquets n'étant plus signés, tu es désormais
> vulnérable à une attaque man in the middle sur ton LAN.
> Bon, d'un autre côté, tu as autant de chances d'avoir une attaque man
> in the middle sur ton LAN que la terre de se faire détruire par un
> astéroïde géant cet après-midi...
> Donc aucun souci :-)
> --
> Nina

On Wed, 7 Mar 2007 09:28:19 +0100, "loutox" <babar@babarrrrr.com>
wrote:

>Man in the middle, ça a la cote comme terme, c'est le terme à la mode pour
>dire cheval de troie ?
Rien à voir...
<http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.attaquesreseau.mitm.html>

>avec un acces entrant terminal server depuis le wan, Puis-je dormir
>tranquille ou faut-il monter la garde ?
>Le pare-feu qui filtre mes entrées depuis le wan compense-t-il cette manip
>sur la BDR ?
Aucune relation. Cette histoire de signature ne concerne que les
communications sur le LAN, et plus précisément SMB.

>le temps sera-t-il beau au printemps ?
Fait plutôt beau aujourd'hui, et la modif faite ne nuit en rien à ta
sécurité.
:-)
--
Nina

Alors c'est cool.
Merci et bonne bronzette si le temps le permet.

"Nina Popravka" <Nina@nospam> a écrit dans le message de news:
2vtsu211dni59qbdu45aekq1fjd7qcl899@4ax.com...
> On Wed, 7 Mar 2007 09:28:19 +0100, "loutox" <babar@babarrrrr.com>
> wrote:
>
>>Man in the middle, ça a la cote comme terme, c'est le terme à la mode pour
>>dire cheval de troie ?
> Rien à voir...
> <http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.attaquesreseau.mitm.html>
>
>>avec un acces entrant terminal server depuis le wan, Puis-je dormir
>>tranquille ou faut-il monter la garde ?
>>Le pare-feu qui filtre mes entrées depuis le wan compense-t-il cette manip
>>sur la BDR ?
> Aucune relation. Cette histoire de signature ne concerne que les
> communications sur le LAN, et plus précisément SMB.
>
>>le temps sera-t-il beau au printemps ?
> Fait plutôt beau aujourd'hui, et la modif faite ne nuit en rien à ta
> sécurité.
> :-)
> --
> Nina

"loutox" <babar@babarrrrr.com> a écrit dans le message de news:
45ee5997$0$7436$426a74cc@news.free.fr...
> Bonjour à tous,
> Nous avons 1 serveur w2003 SR2 et 20 clients xp.
> Suite à l'arrivée de deux macs, un prestataire est venu faire des
> configs afin que ces machines puissent acceder aux dossiers partagés
> avec les autorisations AD.
>
> Pour ce il a modifié des entrées de la base de registre relatives à
> la signature des paquets :
> Cela se trouve dans
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters
> la valeur "EnableSeccuritySignature" a été passée de 1 à 0
> et "RequireSecuritySignature" a été passé de 1 à 0.

tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
pour ça.


> Savez vous quel impact concret cela a-t-il sur la sécurité ?

vu le nom des clés, ça a forcément un impact.


--
klp

Salut

"kurtz_le_pirate" <kurtzlepirate@yahoo.fr> a écrit dans le message de news:
OxhLBPjYHHA.1008@TK2MSFTNGP03.phx.gbl...
> "loutox" <babar@babarrrrr.com> a écrit dans le message de news:
> 45ee5997$0$7436$426a74cc@news.free.fr...
>> Bonjour à tous,
>> Nous avons 1 serveur w2003 SR2 et 20 clients xp.
>> Suite à l'arrivée de deux macs, un prestataire est venu faire des configs
>> afin que ces machines puissent acceder aux dossiers partagés avec les
>> autorisations AD.
>>
>> Pour ce il a modifié des entrées de la base de registre relatives à la
>> signature des paquets :
>> Cela se trouve dans
>> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters
>> la valeur "EnableSeccuritySignature" a été passée de 1 à 0
>> et "RequireSecuritySignature" a été passé de 1 à 0.
>
> tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry pour
> ça.
>
>
>> Savez vous quel impact concret cela a-t-il sur la sécurité ?

Ben il parait que c'est pour les attaques "man in the middle" qui ont lieu
en LAN smb.

Les mac sont tout récents, et lorsque windows remet les clefs à leur valeur
initiale ( il le fait tout seul) alors les macs ne peuvent plus se
connecter.

Bizarre que ça le fasse bien chez toi et pas chez moi !

>
> vu le nom des clés, ça a forcément un impact.
>
>
> --
> klp
>

On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"
<kurtzlepirate@yahoo.fr> wrote:

>tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
>pour ça.

On te parle d'un problème entre * VISTA* et Samba.
Si t'as pas de Vista, t'es pas concerné.
--
Nina

On Mon, 12 Mar 2007 20:32:00 +0100, "loutox" <babar@babarrrrr.com>
wrote:

>Les mac sont tout récents, et lorsque windows remet les clefs à leur valeur
>initiale ( il le fait tout seul)

Et la marmotte ?
--
Nina

Marmotte ?
vista ???

allo ici c'est du W2003 R2

Petite question en passant :

j'ai fait un fichier .cmd qui appelle un .reg afin de modifier ma BDR
Le probleme est que cette commande necessite de valider une boite de
dialogue.
Y a-t-il une ruse en ligne de commande pour eviter cette intervention
manuelle ?

PS : les macs me les brisent un peu.

@+
Loutox


"Nina Popravka" <Nina@nospam> a écrit dans le message de news:
9tabv29vnn8rbs3l9pseeiq3tfto1tajqs@4ax.com...
> On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"
> <kurtzlepirate@yahoo.fr> wrote:
>
>>tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
>>pour ça.
>
> On te parle d'un problème entre * VISTA* et Samba.
> Si t'as pas de Vista, t'es pas concerné.
> --
> Nina

Bonjour,

Mes excuses pour prendre la conversation au milieu (à la fin?)

Soyons clair, la clé "EnableSecuritySignature" DOIT rester à 1, car elle
permet aux autres postes que tes MAC de s'authentifier de manière secure.
Cette clé n'interdit pas aux clients ne sachant pas gérer SMB d'accéder aux
dossiers partagés.

C'est la clé "RequireSecuritySignature" qui force les connexions et que tu
devrais ou non passer à 0.

Soyons clair, cette modification est plus que discutable car, en se référant
ici : http://support.microsoft.com/kb/823659, on trouve les informations
suivantes :

Remarque Dans certains serveurs CIFS tiers tels que les anciennes versions
de Samba, vous ne pouvez pas utiliser de mots de passe chiffrés..Les clients
suivants sont incompatibles avec le paramètre Serveur réseau Microsoft :
communications signées numériquement (toujours) :
. Clients Mac OS X (Apple Computer, Inc.)
. Clients réseau Microsoft MS-DOS (par exemple Microsoft LAN Manager)
. Clients Microsoft Windows pour Workgroups
. Clients Microsoft Windows 95 sur lesquels le client DS n'est pas
installé
. Ordinateurs Microsoft Windows NT 4.0 sans Service Pack 3 (ni version
ultérieure) installé
. Clients CIFS Novell Netware 6
. Clients SMB SAMBA ne prenant pas en charge la signature SMB


Je ne sais pas si depuis la fiche, le SMB des MAC a été amélioré mais garde
en tête, pour avoir fait un certain nombre d'audit de sécurité, qu'il y a
*légèrement* plus de chances de se prendre une attaque MITM qu'un astéroide
géant, et que n'importe quel script kiddie intégrant dans sa boite à outils
du sniff de base te sera éternellement reconnaissant.

Maintenant tant que tu agis en connaissant les risques de ton problème, je
laisse à ton choix perso la décision de scier la branche sur laquelle tu es
assis....

je te renvoie ici pour plus d'informations :
http://support.microsoft.com/kb/887429

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Loutox" <babar> a écrit dans le message de news:
45f5ccfb$0$28523$426a34cc@news.free.fr...
> Marmotte ?
> vista ???
>
> allo ici c'est du W2003 R2
>
> Petite question en passant :
>
> j'ai fait un fichier .cmd qui appelle un .reg afin de modifier ma BDR
> Le probleme est que cette commande necessite de valider une boite de
> dialogue.
> Y a-t-il une ruse en ligne de commande pour eviter cette intervention
> manuelle ?
>
> PS : les macs me les brisent un peu.
>
> @+
> Loutox
>
>
> "Nina Popravka" <Nina@nospam> a écrit dans le message de news:
> 9tabv29vnn8rbs3l9pseeiq3tfto1tajqs@4ax.com...
>> On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"
>> <kurtzlepirate@yahoo.fr> wrote:
>>
>>>tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
>>>pour ça.
>>
>> On te parle d'un problème entre * VISTA* et Samba.
>> Si t'as pas de Vista, t'es pas concerné.
>> --
>> Nina
>
>

"Jonathan BISMUTH" <jonath.b@free.fr> a écrit dans le message de news:
%23XIBkhUZHHA.3928@TK2MSFTNGP03.phx.gbl...
> Bonjour,
>
> Mes excuses pour prendre la conversation au milieu (à la fin?)
>
> Soyons clair, la clé "EnableSecuritySignature" DOIT rester à 1, car elle
> permet aux autres postes que tes MAC de s'authentifier de manière secure.
> Cette clé n'interdit pas aux clients ne sachant pas gérer SMB d'accéder
> aux dossiers partagés.
>
> C'est la clé "RequireSecuritySignature" qui force les connexions et que tu
> devrais ou non passer à 0.

OK, je vais tester avec seulement cette clef et donnerai les resultats ici
( fin de semaine prochaine)
merci

Loutox.

>
> Soyons clair, cette modification est plus que discutable car, en se
> référant ici : http://support.microsoft.com/kb/823659, on trouve les
> informations suivantes :
>
> Remarque Dans certains serveurs CIFS tiers tels que les anciennes versions
> de Samba, vous ne pouvez pas utiliser de mots de passe chiffrés..Les
> clients suivants sont incompatibles avec le paramètre Serveur réseau
> Microsoft : communications signées numériquement (toujours) :
> . Clients Mac OS X (Apple Computer, Inc.)
> . Clients réseau Microsoft MS-DOS (par exemple Microsoft LAN Manager)
> . Clients Microsoft Windows pour Workgroups
> . Clients Microsoft Windows 95 sur lesquels le client DS n'est pas
> installé
> . Ordinateurs Microsoft Windows NT 4.0 sans Service Pack 3 (ni
> version ultérieure) installé
> . Clients CIFS Novell Netware 6
> . Clients SMB SAMBA ne prenant pas en charge la signature SMB
>
>
> Je ne sais pas si depuis la fiche, le SMB des MAC a été amélioré mais
> garde en tête, pour avoir fait un certain nombre d'audit de sécurité,
> qu'il y a *légèrement* plus de chances de se prendre une attaque MITM
> qu'un astéroide géant, et que n'importe quel script kiddie intégrant dans
> sa boite à outils du sniff de base te sera éternellement reconnaissant.
>
> Maintenant tant que tu agis en connaissant les risques de ton problème, je
> laisse à ton choix perso la décision de scier la branche sur laquelle tu
> es assis....
>
> je te renvoie ici pour plus d'informations :
> http://support.microsoft.com/kb/887429
>
> Cordialement,
> --
> Jonathan BISMUTH
> MVP Windows Server - Directory Services
> MCSE 2000/ADSI-AutoIT Scripter
> Transcript (ID: 691839, code: MCSE2000)
> www.portail-mcse.net
>
> "Loutox" <babar> a écrit dans le message de news:
> 45f5ccfb$0$28523$426a34cc@news.free.fr...
>> Marmotte ?
>> vista ???
>>
>> allo ici c'est du W2003 R2
>>
>> Petite question en passant :
>>
>> j'ai fait un fichier .cmd qui appelle un .reg afin de modifier ma BDR
>> Le probleme est que cette commande necessite de valider une boite de
>> dialogue.
>> Y a-t-il une ruse en ligne de commande pour eviter cette intervention
>> manuelle ?
>>
>> PS : les macs me les brisent un peu.
>>
>> @+
>> Loutox
>>
>>
>> "Nina Popravka" <Nina@nospam> a écrit dans le message de news:
>> 9tabv29vnn8rbs3l9pseeiq3tfto1tajqs@4ax.com...
>>> On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"
>>> <kurtzlepirate@yahoo.fr> wrote:
>>>
>>>>tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
>>>>pour ça.
>>>
>>> On te parle d'un problème entre * VISTA* et Samba.
>>> Si t'as pas de Vista, t'es pas concerné.
>>> --
>>> Nina
>>
>>
>
>

"Nina Popravka" <Nina@nospam> a écrit dans le message de news:
9tabv29vnn8rbs3l9pseeiq3tfto1tajqs@4ax.com...
> On Fri, 9 Mar 2007 11:14:41 +0100, "kurtz_le_pirate"
> <kurtzlepirate@yahoo.fr> wrote:
>
>>tiens, j'ai moi aussi des macs et je n'ai jamais modifié la registry
>>pour ça.
>
> On te parle d'un problème entre * VISTA* et Samba.
> Si t'as pas de Vista, t'es pas concerné.
> --
> Nina

tu as besoin de lunette nina ? moi j'ai lu au début de cette discution
"Nous avons 1 serveur w2003 SR2 ..."


))
--
klp

"Loutox" <babar> a écrit dans le message de news:
45f5ccfb$0$28523$426a34cc@news.free.fr...
> Marmotte ?
> vista ???
>
> allo ici c'est du W2003 R2
>
> Petite question en passant :
>
> j'ai fait un fichier .cmd qui appelle un .reg afin de modifier ma
> BDR
> Le probleme est que cette commande necessite de valider une boite de
> dialogue.
> Y a-t-il une ruse en ligne de commande pour eviter cette
> intervention manuelle ?
>
> PS : les macs me les brisent un peu.

normal... on aime pas ce que l'on ne connait pas.
il faut enlever les oeillères "windows" !


--
klp

"kurtz_le_pirate" <kurtzlepirate@yahoo.fr> a écrit dans le message de news:
u5ykgC9ZHHA.4668@TK2MSFTNGP04.phx.gbl...
>
> "Loutox" <babar> a écrit dans le message de news:
> 45f5ccfb$0$28523$426a34cc@news.free.fr...
>> Marmotte ?
>> vista ???
>>
>> allo ici c'est du W2003 R2
>>
>> Petite question en passant :
>>
>> j'ai fait un fichier .cmd qui appelle un .reg afin de modifier ma BDR
>> Le probleme est que cette commande necessite de valider une boite de
>> dialogue.
>> Y a-t-il une ruse en ligne de commande pour eviter cette intervention
>> manuelle ?
>>
>> PS : les macs me les brisent un peu.
>
> normal... on aime pas ce que l'on ne connait pas.

ne pas savoir, c'est pas grave, ce qui est penible est, outre le fait de ne
trouver aucune info pragmatique concernant la connexion d'un mac NEUF sur
un serveur de fichier windows, d'avoir une penurie de prestataires
(competents ou pas) concernant le probleme.

> il faut enlever les oeillères "windows" !
....
on va pas troller, je cherche juste à résoudre mon probleme et c'est pas
simple.

>
>
> --
> klp
>