none
Isolation de serveur : Restriction d'un port en fonction du groupe sur ordinateur authentifié / chiffré.

    Question

  • Bonjour,


    Je souhaite faire en sorte que seul quelques postes identifiés peuvent joindre en SMB un serveur. j'ai suivi la procédure Microsoft d'isolation de serveur.

    https://docs.microsoft.com/en-us/windows/access-protection/windows-firewall/checklist-configuring-rules-for-servers-in-a-standalone-isolated-server-zone

    Mes postes communiquent bien authentifié et chiffré avec mon serveur, cependant je n'arrive pas à appliquer la règle qui permettrait d'autoriser le port SMB que pour les postes appartenant au groupe ... , cf doc ci-dessous : 

    https://docs.microsoft.com/en-us/windows/access-protection/windows-firewall/restrict-server-access-to-members-of-a-group-only

    Malgré ma configuration, un poste qui est authentifié et chiffré peut quand même accéder au SMB du serveur, même si il ne fait pas parti du groupe que j'ai défini. J'ai essayé en faisant en plus une règle de blocage puis une règle d'autorisation pour ce groupe mais rien n'y fait.. je comprends pas :( 

     
    Merci.
    • Modifié Brice Val mardi 19 septembre 2017 13:52
    mardi 19 septembre 2017 13:51

Réponses

  • Bonjour,

    J'ai fini par trouver le problème : l'appartenance aux groupes n’étaient pas prise en compte avec un simple GPUPDATE, il fallait redémarrer le poste.

    J'ai également configuré l'authentification uniquement poste et non pas utilisateur (pas utile dans mon cas), et ça fonctionne nickel.

    Merci.

    • Marqué comme réponse Brice Val jeudi 5 octobre 2017 10:28
    jeudi 5 octobre 2017 10:27

Toutes les réponses

  • Bonjour Brice Val,

    Veuillez consulter le thread suivant :

    https://support.microsoft.com/fr-fr/help/3185535/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic

    Je vous remercie par avance pour votre retour.

    Cordialement,
    Nedeltcho


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "Tel quel" sans garantie d'aucune sorte, explicite ou implicite. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mercredi 20 septembre 2017 12:21
    Modérateur
  • Bonjour,

    J'ai fini par trouver le problème : l'appartenance aux groupes n’étaient pas prise en compte avec un simple GPUPDATE, il fallait redémarrer le poste.

    J'ai également configuré l'authentification uniquement poste et non pas utilisateur (pas utile dans mon cas), et ça fonctionne nickel.

    Merci.

    • Marqué comme réponse Brice Val jeudi 5 octobre 2017 10:28
    jeudi 5 octobre 2017 10:27
  • Bonjour,

    J'ai fini par trouver le problème : l'appartenance aux groupes n’étaient pas prise en compte avec un simple GPUPDATE, il fallait redémarrer le poste.

    J'ai également configuré l'authentification uniquement poste et non pas utilisateur (pas utile dans mon cas), et ça fonctionne nickel.

    Merci.

    En fait, l'appartenance au groupe est inclue dans le ticket kerberos, pour cela quand vous ajouter ou supprimer un compte ordinateur dans un groupe active directory , cela ne sera pas prise en compte  qu'après la renouvellement des tickets kerberos en cache en redémarrant le poste ou lancer la commande ci-dessous:

    klist -li 0x3e7 purge
    

    Pour avoir plus de détails je vous invite à consulter ce lien : L'appartenance à un groupe et les tickets Kerberos


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 5 octobre 2017 10:40
    Modérateur