Partage administratif
Les systèmes d'exploitation Windows d'entreprise ouvrent des partages administratifs sur le réseau. Ce sont les dossiers et canaux partagés par défaut et essentiels dans les environnements "groupe de travail Microsoft" et "Domaine Microsoft". Les éditions familiales, RT et Phone ne sont pas concernées.
Il y a notamment un partage administratif pour chaque Partition de disque dur (exemple : C$, D$...etc.). Il existe aussi d'autres partages administratifs :
- pour le dossier racine système (défini par la variable d'environnement %SystemRoot%, par exemple C:\WINDOWS) sous le nom de admin$,
- Pour les imprimantes, sous le nom de PRINT$
- Pour les fax, sous le nom de FAX$
- Pour les connexions temporaires par named pipe (canaux nommés), sous le nom de IPC$ (communication inter-processus)
- Pour les partages cachés, Nom_de_Partage$
En général, seuls les comptes d'utilisateurs membres du groupe administrateurs ainsi que le système lui-même peuvent accéder à ces ressources.
Le caractère dollar à la fin du nom de partage indique à l'ordinateur client de ne pas afficher le partage à l'utilisateur. Seul Windows respecte cette volonté. Les utilisateurs des systèmes non-Windows peuvent être gênés car, dans une entreprise, les partages réseau peuvent être nombreux et l'ensemble apparaît avec les autres dossiers réseau utiles.
Problème de sécurité sur le réseau local et Internet
Les apprentis hacker
Ces partages administratifs posent de gros problèmes de sécurité s’ils sont sur un ordinateur directement connecté à internet. Pour les apprentis hacker (script kiddies), c'est l'une des premières choses qu'ils testent lorsqu'ils essaieront de trouver des PC vulnérables sur internet.
Les administrateurs réseau connaissent les risques et sont formés pour filtrer et protéger les accès. Un utilisateur lambda qui utilise une édition professionnelle ne se rend pas compte qu'il partage toutes les partitions de son ou ses disque(s) dur(s) car la fonctionnalité Voisinage réseau n'affiche pas les répertoires réseau se terminant par le caractère "$" (dollar). Ce "Voisinage réseau" se trouve dans Favoris réseau\Tout le réseau\Réseau Microsoft Windows).
Les différentes protections possibles
Pour un PC connecté directement sur internet un ou plusieurs des conseils suivants doivent être appliqués :
- choisir un mot de passe fort pour chaque compte membre du groupe Administrateurs (exemples: "Administrateur", "Propriétaire"...). Il doit notamment résister à une attaque par dictionnaire.
- désactiver le service de partage réseau (l'état manuel est insuffisant)
- configurer son pare-feu pour bloquer/ouvrir les ports Netbios de façon adaptée à ses besoins (le pare-feu de Microsoft ou celui d'un autre éditeur)
- modifier le registre (attention, ceci ne doit ĂŞtre fait que par un informaticien)
Ruche : HKLM (HKEY_LOCAL_MACHINE), Clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
- Sous NT 4.0 serveur/Windows 2000 serveur/Windows Server 2003
Name: AutoShareServer
- Sous NT 4.0 Workstation/Windows 2000 Professionnel/XP (autre que Ă©dition familiale)
Name: AutoShareWks
Mettre la valeur : 0 (Data Type: REG_DWORD)
Serveur de messagerie Microsoft
Ces partages administratifs sont nécessaires pour qu'un serveur Microsoft Exchange fonctionne ; si ce n'est pas le cas, un message d'erreur apparaîtra.
Notes et références
Voir aussi
Articles connexes
- (en) en:LAN manager
- Tube nommé (terminolige Unix; "canal nommé" sous Windows)