Bien entendu, la vie serait beaucoup plus simple et plus sûre si tous les postes de travail et les serveurs étaient sous Windows NT avec le SP4 ou ultérieur. Avec les applications héritées, il faut tenir compte du temps nécessaire pour appliquer les service packs et du risque d'introduire des
Equilibre entre sécurité et compatibilité
problèmes de stabilité. Il faut
savoir exactement quels systèmes nécessitent des mises à niveau dans chaque scénario.
L’éditeur de stratégies systèmes peut faire gagner beaucoup de temps pour mettre
à jour le Registre, tout comme l’utilitaire Autoexnt du kit de ressource pour
appliquer les service packs.Il faut empêcher le plus possible les clients de transmettre
la réponse LM.
Aussi, en attendant que Microsoft résolve le problème du niveau 3, je préconise
de mettre en oeuvre le niveau 2. Pour éviter que des stations de travail se trouvent
dans l’incapacité de se connecter aux serveurs, il convient de suivre ces trois
étapes pour mettre à jour vos systèmes dans le bon ordre :
Installez le SP4 ou ultérieur sur tous vos contrôleurs de domaines. (Cette règle
ne s’applique pas aux contrôleurs de domaines de ressources, puisqu’ils envoient
des réponses au contrôleur de domaine dans lequel réside le compte. Si votre compte
en cours se trouve sur un contrôleur de domaine SP4 ou ultérieur, vous pouvez
utiliser un poste de travail de niveau 2 ou 3 pour mapper les unités à un serveur
antérieur au SP4 dans un domaine approuvé, dans lequel les contrôleurs de domaines
ne sont pas dotés de SP4 ou ultérieur.
Identifiez tout système non-NT tel que serveurs de fichiers et d’impression.
Il faut identifier ces systèmes, parce que les postes de travail NT de niveau
2 ne peuvent pas se connecter aux ordinateurs utilisant la sécurité au niveau
du partage et les mots de passe non nuls. Les systèmes non-NT permettent de partager
des fichiers en utilisant la sécurité au niveau de l’utilisateur ou au niveau
du partage.
Cette dernière exige de valider la réponse localement par rapport au mot de passe
au niveau du partage, mais sur les clients NT, la validation échouera parce que
les systèmes non-NT ne comprennent pas les réponses NTLM. Si vous utilisez un
compte de domaine, la sécurité au niveau de l’utilisateur fonctionnera parce que
le système enverra la réponse au contrôleur de domaine. Il faut mettre à niveau
les serveurs vers NT ou basculer à la sécurité au niveau de l’utilisateur avec
les comptes de domaines.
Identifiez tous les serveurs NT antérieurs au SP4 utilisant des comptes locaux
au lieu de comptes de domaines. Il faut leur appliquer le SP4 ou ultérieur, car
ils effectuent l’authentification localement et ne comprendront pas les réponses
provenant des clients de niveau 2.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
- Les 6 étapes vers un diagnostic réussi
