Partage administratif
Les systèmes d'exploitation Windows d'entreprise ouvrent des partages administratifs sur le réseau. Ce sont les dossiers et canaux partagés par défaut et essentiels dans les environnements "groupe de travail Microsoft" et "Domaine Microsoft". Les éditions familiales, RT et Phone ne sont pas concernées.
Il y a notamment un partage administratif pour chaque Partition de disque dur (exemple : C$, D$...etc.). Il existe aussi d'autres partages administratifs :
- pour le dossier racine système (défini par la variable d'environnement %SystemRoot%, par exemple C:\WINDOWS) sous le nom de admin$,
- Pour les imprimantes, sous le nom de PRINT$
- Pour les fax, sous le nom de FAX$
- Pour les connexions temporaires par named pipe (canaux nommés), sous le nom de IPC$ (communication inter-processus)
- Pour les partages cachés, Nom_de_Partage$
En général, seuls les comptes d'utilisateurs membres du groupe administrateurs ainsi que le système lui-même peuvent accéder à ces ressources.
Le caractère dollar à la fin du nom de partage indique à l'ordinateur client de ne pas afficher le partage à l'utilisateur. Seul Windows respecte cette volonté. Les utilisateurs des systèmes non-Windows peuvent être gênés car, dans une entreprise, les partages réseau peuvent être nombreux et l'ensemble apparaît avec les autres dossiers réseau utiles.
Problème de sécurité sur le réseau local et Internet[modifier | modifier le code]
Les apprentis hacker[modifier | modifier le code]
Ces partages administratifs posent de gros problèmes de sécurité s’ils sont sur un ordinateur directement connecté à internet. Pour les apprentis hacker (script kiddies), c'est l'une des premières choses qu'ils testent lorsqu'ils essaieront de trouver des PC vulnérables sur internet.
Les administrateurs réseau connaissent les risques et sont formés pour filtrer et protéger les accès. Un utilisateur lambda qui utilise une édition professionnelle ne se rend pas compte qu'il partage toutes les partitions de son ou ses disque(s) dur(s) car la fonctionnalité Voisinage réseau n'affiche pas les répertoires réseau se terminant par le caractère "$" (dollar). Ce "Voisinage réseau" se trouve dans Favoris réseau\Tout le réseau\Réseau Microsoft Windows).
Les différentes protections possibles[modifier | modifier le code]
Pour un PC connecté directement sur internet un ou plusieurs des conseils suivants doivent être appliqués :
- choisir un mot de passe fort pour chaque compte membre du groupe Administrateurs (exemples: "Administrateur", "Propriétaire"...). Il doit notamment résister à une attaque par dictionnaire.
- désactiver le service de partage réseau (l'état manuel est insuffisant)
- configurer son pare-feu pour bloquer/ouvrir les ports Netbios de façon adaptée à ses besoins (le pare-feu de Microsoft ou celui d'un autre éditeur)
- modifier le registre (attention, ceci ne doit être fait que par un informaticien)
Ruche : HKLM (HKEY_LOCAL_MACHINE), Clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
- Sous NT 4.0 serveur/Windows 2000 serveur/Windows Server 2003
Name: AutoShareServer
- Sous NT 4.0 Workstation/Windows 2000 Professionnel/XP (autre que édition familiale)
Name: AutoShareWks
Mettre la valeur : 0 (Data Type: REG_DWORD)
Serveur de messagerie Microsoft[modifier | modifier le code]
Ces partages administratifs sont nécessaires pour qu'un serveur Microsoft Exchange fonctionne ; si ce n'est pas le cas, un message d'erreur apparaîtra.
Notes et références[modifier | modifier le code]
Voir aussi[modifier | modifier le code]
Articles connexes[modifier | modifier le code]
- (en) en:LAN manager
- Tube nommé (terminolige Unix; "canal nommé" sous Windows)
