J'aimerais avoir l'avis de diff=E9rentes personnes sur la=20
strat=E9gie que je pense mettre en place sur mon r=E9seau.
Soit environ 150 machines (PC sous NT, 2000 et XP).
TOUS les m=E9dias amovibles (disquettes, CD, cl=E9s USB) sont=20
d=E9sactiv=E9s et/ou inaccessibles pour les utilisateurs.
La messagerie est prot=E9g=E9e par un antivirus par notre=20
fournisseur d'acc=E8s.
Le seul point d'entr=E9e restant est donc notre futur acc=E8s=20
internet.
Pour simplifier l'administration, j'ai l'intention de=20
laisser les machines sans antivirus local, et de tout=20
baser sur un firewall niveau 7 avec fonctionnalit=E9s=20
antivirus (type Arkoon) et filtrage d'urls.
Je pense =E9liminer une grosse part des menaces en=20
appliquant un filtrage assez strict des urls, ce qui=20
=E9vitera le surf sur des sites un peu louches.
Je pr=E9cise que sur les 150 machines, il n'y aura qu'une=20
quinzaine d'utilisateurs disposant d'un acc=E8s internet.
Quels sont les risques =E9ventuels ?
Quel est le risque si les PC ne sont pas =E0 jour au niveau=20
patches de s=E9curit=E9, sachant que le Firewall est cens=E9=20
bloquer les attaques sur les failles connues ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JacK [MVP]
Pararno avait énoncé :
Bonjour,
J'aimerais avoir l'avis de différentes personnes sur la stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP). TOUS les médias amovibles (disquettes, CD, clés USB) sont désactivés et/ou inaccessibles pour les utilisateurs.
La messagerie est protégée par un antivirus par notre fournisseur d'accès.
Le seul point d'entrée restant est donc notre futur accès internet.
Pour simplifier l'administration, j'ai l'intention de laisser les machines sans antivirus local, et de tout baser sur un firewall niveau 7 avec fonctionnalités antivirus (type Arkoon) et filtrage d'urls.
Je pense éliminer une grosse part des menaces en appliquant un filtrage assez strict des urls, ce qui évitera le surf sur des sites un peu louches.
Je précise que sur les 150 machines, il n'y aura qu'une quinzaine d'utilisateurs disposant d'un accès internet.
Quels sont les risques éventuels ? Quel est le risque si les PC ne sont pas à jour au niveau patches de sécurité, sachant que le Firewall est censé bloquer les attaques sur les failles connues ?
Merci pour vos conseils éclairés...
'lut,
Quelques points dont il faut tenir compte :
Quid des portables : très dangereux s'ils viennent se brancher sur le réseau d'entreprise et pas d'AV sur les stations de travail.
Quid des messageries instantanées ?
Attention aux Webmails.
Quels types d'utilisateurs ? Limités ou Admin sur leur poste ?
Le filtrage URL devrait être envisagé autrement si pas d'AV : non pas interdire certaines adresses mais plutôt n'autoriser que certaines adresses.
Un AV au moins sur les machines ayant accès au W3 n'est pas un luxe et ne complique en rien le boulot de l'Admin. Le coût et la charge de travail est dérisoire par rapport à celle d'une infection.
Pour autant que le FW soit bien configuré, le risque d'exploitation d'une faille inconnue par un ver de réseau est négligeable.
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
Pararno avait énoncé :
Bonjour,
J'aimerais avoir l'avis de différentes personnes sur la
stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP).
TOUS les médias amovibles (disquettes, CD, clés USB) sont
désactivés et/ou inaccessibles pour les utilisateurs.
La messagerie est protégée par un antivirus par notre
fournisseur d'accès.
Le seul point d'entrée restant est donc notre futur accès
internet.
Pour simplifier l'administration, j'ai l'intention de
laisser les machines sans antivirus local, et de tout
baser sur un firewall niveau 7 avec fonctionnalités
antivirus (type Arkoon) et filtrage d'urls.
Je pense éliminer une grosse part des menaces en
appliquant un filtrage assez strict des urls, ce qui
évitera le surf sur des sites un peu louches.
Je précise que sur les 150 machines, il n'y aura qu'une
quinzaine d'utilisateurs disposant d'un accès internet.
Quels sont les risques éventuels ?
Quel est le risque si les PC ne sont pas à jour au niveau
patches de sécurité, sachant que le Firewall est censé
bloquer les attaques sur les failles connues ?
Merci pour vos conseils éclairés...
'lut,
Quelques points dont il faut tenir compte :
Quid des portables : très dangereux s'ils viennent se brancher sur le
réseau d'entreprise et pas d'AV sur les stations de travail.
Quid des messageries instantanées ?
Attention aux Webmails.
Quels types d'utilisateurs ? Limités ou Admin sur leur poste ?
Le filtrage URL devrait être envisagé autrement si pas d'AV : non pas
interdire certaines adresses mais plutôt n'autoriser que certaines
adresses.
Un AV au moins sur les machines ayant accès au W3 n'est pas un luxe et
ne complique en rien le boulot de l'Admin. Le coût et la charge de
travail est dérisoire par rapport à celle d'une infection.
Pour autant que le FW soit bien configuré, le risque d'exploitation
d'une faille inconnue par un ver de réseau est négligeable.
--
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK
J'aimerais avoir l'avis de différentes personnes sur la stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP). TOUS les médias amovibles (disquettes, CD, clés USB) sont désactivés et/ou inaccessibles pour les utilisateurs.
La messagerie est protégée par un antivirus par notre fournisseur d'accès.
Le seul point d'entrée restant est donc notre futur accès internet.
Pour simplifier l'administration, j'ai l'intention de laisser les machines sans antivirus local, et de tout baser sur un firewall niveau 7 avec fonctionnalités antivirus (type Arkoon) et filtrage d'urls.
Je pense éliminer une grosse part des menaces en appliquant un filtrage assez strict des urls, ce qui évitera le surf sur des sites un peu louches.
Je précise que sur les 150 machines, il n'y aura qu'une quinzaine d'utilisateurs disposant d'un accès internet.
Quels sont les risques éventuels ? Quel est le risque si les PC ne sont pas à jour au niveau patches de sécurité, sachant que le Firewall est censé bloquer les attaques sur les failles connues ?
Merci pour vos conseils éclairés...
'lut,
Quelques points dont il faut tenir compte :
Quid des portables : très dangereux s'ils viennent se brancher sur le réseau d'entreprise et pas d'AV sur les stations de travail.
Quid des messageries instantanées ?
Attention aux Webmails.
Quels types d'utilisateurs ? Limités ou Admin sur leur poste ?
Le filtrage URL devrait être envisagé autrement si pas d'AV : non pas interdire certaines adresses mais plutôt n'autoriser que certaines adresses.
Un AV au moins sur les machines ayant accès au W3 n'est pas un luxe et ne complique en rien le boulot de l'Admin. Le coût et la charge de travail est dérisoire par rapport à celle d'une infection.
Pour autant que le FW soit bien configuré, le risque d'exploitation d'une faille inconnue par un ver de réseau est négligeable.
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
Pararno
Merci pour ces commentaires
Quelques points dont il faut tenir compte :
Quid des portables : très dangereux s'ils viennent se brancher sur le
réseau d'entreprise et pas d'AV sur les stations de travail.
Nous pensons équiper nos 3 ou 4 portables (!) d'un antivirus local.
Quid des messageries instantanées ?
Messenger est évidemment désinstallé des postes, et j'ajoute que notre filtrage ajoutera une interdiction de télécharger des fichiers de type exécutables ou zip.
Attention aux Webmails.
Nous pensons interdire l'accès aux Webmails.
Quels types d'utilisateurs ? Limités ou Admin sur leur poste ?
Ils sont admin de leur poste, à cause de certaines incompatibilités logicielles qui font que certaines applis ne marchent pas si on n'est pas admin local. Par contre, nous n'avons pas de réseau microsoft, ni d'AD. Nous sommes en Netware.
Le filtrage URL devrait être envisagé autrement si pas d'AV : non pas
interdire certaines adresses mais plutôt n'autoriser que certaines
adresses.
OK
Un AV au moins sur les machines ayant accès au W3 n'est pas un luxe et
ne complique en rien le boulot de l'Admin. Le coût et la charge de
travail est dérisoire par rapport à celle d'une infection.
Toutes nos machines sont susceptibles d'accéder au net. C'est pourquoi l'économie d'un antivirus par poste est très importante (puisqu'ils devraient tous en être équipés).
Pour autant que le FW soit bien configuré, le risque d'exploitation
d'une faille inconnue par un ver de réseau est négligeable.
C'est aussi ce que je pense... Merci !
Merci pour ces commentaires
Quelques points dont il faut tenir compte :
Quid des portables : très dangereux s'ils viennent se
brancher sur le
réseau d'entreprise et pas d'AV sur les stations de
travail.
Nous pensons équiper nos 3 ou 4 portables (!) d'un
antivirus local.
Quid des messageries instantanées ?
Messenger est évidemment désinstallé des postes, et
j'ajoute que notre filtrage ajoutera une interdiction de
télécharger des fichiers de type exécutables ou zip.
Attention aux Webmails.
Nous pensons interdire l'accès aux Webmails.
Quels types d'utilisateurs ? Limités ou Admin sur leur
poste ?
Ils sont admin de leur poste, à cause de certaines
incompatibilités logicielles qui font que certaines
applis ne marchent pas si on n'est pas admin local.
Par contre, nous n'avons pas de réseau microsoft, ni
d'AD. Nous sommes en Netware.
Le filtrage URL devrait être envisagé autrement si pas
d'AV : non pas
interdire certaines adresses mais plutôt n'autoriser que
certaines
adresses.
OK
Un AV au moins sur les machines ayant accès au W3 n'est
pas un luxe et
ne complique en rien le boulot de l'Admin. Le coût et
la charge de
travail est dérisoire par rapport à celle d'une
infection.
Toutes nos machines sont susceptibles d'accéder au net.
C'est pourquoi l'économie d'un antivirus par poste est
très importante (puisqu'ils devraient tous en être
équipés).
Pour autant que le FW soit bien configuré, le risque
d'exploitation
d'une faille inconnue par un ver de réseau est
négligeable.
Quid des portables : très dangereux s'ils viennent se brancher sur le
réseau d'entreprise et pas d'AV sur les stations de travail.
Nous pensons équiper nos 3 ou 4 portables (!) d'un antivirus local.
Quid des messageries instantanées ?
Messenger est évidemment désinstallé des postes, et j'ajoute que notre filtrage ajoutera une interdiction de télécharger des fichiers de type exécutables ou zip.
Attention aux Webmails.
Nous pensons interdire l'accès aux Webmails.
Quels types d'utilisateurs ? Limités ou Admin sur leur poste ?
Ils sont admin de leur poste, à cause de certaines incompatibilités logicielles qui font que certaines applis ne marchent pas si on n'est pas admin local. Par contre, nous n'avons pas de réseau microsoft, ni d'AD. Nous sommes en Netware.
Le filtrage URL devrait être envisagé autrement si pas d'AV : non pas
interdire certaines adresses mais plutôt n'autoriser que certaines
adresses.
OK
Un AV au moins sur les machines ayant accès au W3 n'est pas un luxe et
ne complique en rien le boulot de l'Admin. Le coût et la charge de
travail est dérisoire par rapport à celle d'une infection.
Toutes nos machines sont susceptibles d'accéder au net. C'est pourquoi l'économie d'un antivirus par poste est très importante (puisqu'ils devraient tous en être équipés).
Pour autant que le FW soit bien configuré, le risque d'exploitation
d'une faille inconnue par un ver de réseau est négligeable.
C'est aussi ce que je pense... Merci !
JacK [MVP]
Pararno vient de nous annoncer :
Quels types d'utilisateurs ? Limités ou Admin sur leur poste ?
Ils sont admin de leur poste, à cause de certaines incompatibilités logicielles qui font que certaines applis ne marchent pas si on n'est pas admin local. Par contre, nous n'avons pas de réseau microsoft, ni d'AD. Nous sommes en Netware.
Préférer la commande Run as ou utiliser Superexe de JCB
Toutes nos machines sont susceptibles d'accéder au net. C'est pourquoi l'économie d'un antivirus par poste est très importante (puisqu'ils devraient tous en être équipés).
C'est un calcul à faire : des licences en volumes pour un AV performant
coûtent moins de 20 euros/poste par an. Combien coûterait une infection de tout ou partie du LAN en perte de productivité et en désinfection ?
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
Pararno vient de nous annoncer :
Quels types d'utilisateurs ? Limités ou Admin sur leur
poste ?
Ils sont admin de leur poste, à cause de certaines
incompatibilités logicielles qui font que certaines
applis ne marchent pas si on n'est pas admin local.
Par contre, nous n'avons pas de réseau microsoft, ni
d'AD. Nous sommes en Netware.
Préférer la commande Run as ou utiliser Superexe de JCB
Toutes nos machines sont susceptibles d'accéder au net.
C'est pourquoi l'économie d'un antivirus par poste est
très importante (puisqu'ils devraient tous en être
équipés).
C'est un calcul à faire : des licences en volumes pour un AV performant
coûtent moins de 20 euros/poste par an.
Combien coûterait une infection de tout ou partie du LAN en perte de
productivité et en désinfection ?
--
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK
Quels types d'utilisateurs ? Limités ou Admin sur leur poste ?
Ils sont admin de leur poste, à cause de certaines incompatibilités logicielles qui font que certaines applis ne marchent pas si on n'est pas admin local. Par contre, nous n'avons pas de réseau microsoft, ni d'AD. Nous sommes en Netware.
Préférer la commande Run as ou utiliser Superexe de JCB
Toutes nos machines sont susceptibles d'accéder au net. C'est pourquoi l'économie d'un antivirus par poste est très importante (puisqu'ils devraient tous en être équipés).
C'est un calcul à faire : des licences en volumes pour un AV performant
coûtent moins de 20 euros/poste par an. Combien coûterait une infection de tout ou partie du LAN en perte de productivité et en désinfection ?
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
François Ropert
Bonjour,
Salut !
J'aimerais avoir l'avis de différentes personnes sur la stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP).
Une uniformisation des postes clients serait une bonne idée si le budget le permet.
TOUS les médias amovibles (disquettes, CD, clés USB) sont désactivés et/ou inaccessibles pour les utilisateurs.
Solution pas très souple pour l'utilisateur. Obligation de passer par un flux réseau ( e-mail, ftp, ... ). En bloquent les médias amovibles tu bloque la propagation de virus mais en passant par les flux réseau, tu peux mettre en péril la confidentialité des données de ton entreprise.
Pour simplifier l'administration, j'ai l'intention de laisser les machines sans antivirus local, et de tout baser sur un firewall niveau 7 avec fonctionnalités antivirus (type Arkoon) et filtrage d'urls.
Le firewall+antivirus arkoon peut devenir une source de problèmes à plusieurs niveaux selon l'emplacement du firewall dans ton réseau. S'il est situé derrière la connexion Internet voici les risques : - Risque de SPOF. Si le pare-feu tombe en rideau les utilisateurs n'auront plus accès à certains services ( Internet ) . Ici, la solution serait de mettre en place une solution de haute-disponibilité (qui coûte cher).
- L'antivirus intégré au firewall ne pourrait être utilisée seulement en cas d'entrée/sortie sur Internet. Les postes ne sont donc pas protégés entre eux !
Solution: déployer une solution antivirus serveur sur un serveur et les clients+mises à jour diffusés sur chaque poste.
Quel est le risque si les PC ne sont pas à jour au niveau patches de sécurité, sachant que le Firewall est censé bloquer les attaques sur les failles connues ?
Cela dépend où le firewall est placé dans ton réseau.
Merci pour vos conseils éclairés...
En espérant que les miens te soient utiles.
--
Secboxen - Dialoguer pour une meilleure sécurité http://www.rezalfr.org/securite
Bonjour,
Salut !
J'aimerais avoir l'avis de différentes personnes sur la
stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP).
Une uniformisation des postes clients serait une bonne idée si le budget le
permet.
TOUS les médias amovibles (disquettes, CD, clés USB) sont
désactivés et/ou inaccessibles pour les utilisateurs.
Solution pas très souple pour l'utilisateur. Obligation de passer par un
flux réseau ( e-mail, ftp, ... ).
En bloquent les médias amovibles tu bloque la propagation de virus mais en
passant par les flux réseau, tu peux mettre en péril la confidentialité des
données de ton entreprise.
Pour simplifier l'administration, j'ai l'intention de
laisser les machines sans antivirus local, et de tout
baser sur un firewall niveau 7 avec fonctionnalités
antivirus (type Arkoon) et filtrage d'urls.
Le firewall+antivirus arkoon peut devenir une source de problèmes à
plusieurs niveaux selon l'emplacement du firewall dans ton réseau.
S'il est situé derrière la connexion Internet voici les risques :
- Risque de SPOF. Si le pare-feu tombe en rideau les utilisateurs n'auront
plus accès à certains services ( Internet ) .
Ici, la solution serait de mettre en place une solution de
haute-disponibilité (qui coûte cher).
- L'antivirus intégré au firewall ne pourrait être utilisée seulement en cas
d'entrée/sortie sur Internet.
Les postes ne sont donc pas protégés entre eux !
Solution: déployer une solution antivirus serveur sur un serveur et les
clients+mises à jour diffusés sur chaque poste.
Quel est le risque si les PC ne sont pas à jour au niveau
patches de sécurité, sachant que le Firewall est censé
bloquer les attaques sur les failles connues ?
Cela dépend où le firewall est placé dans ton réseau.
Merci pour vos conseils éclairés...
En espérant que les miens te soient utiles.
--
Secboxen - Dialoguer pour une meilleure sécurité
http://www.rezalfr.org/securite
J'aimerais avoir l'avis de différentes personnes sur la stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP).
Une uniformisation des postes clients serait une bonne idée si le budget le permet.
TOUS les médias amovibles (disquettes, CD, clés USB) sont désactivés et/ou inaccessibles pour les utilisateurs.
Solution pas très souple pour l'utilisateur. Obligation de passer par un flux réseau ( e-mail, ftp, ... ). En bloquent les médias amovibles tu bloque la propagation de virus mais en passant par les flux réseau, tu peux mettre en péril la confidentialité des données de ton entreprise.
Pour simplifier l'administration, j'ai l'intention de laisser les machines sans antivirus local, et de tout baser sur un firewall niveau 7 avec fonctionnalités antivirus (type Arkoon) et filtrage d'urls.
Le firewall+antivirus arkoon peut devenir une source de problèmes à plusieurs niveaux selon l'emplacement du firewall dans ton réseau. S'il est situé derrière la connexion Internet voici les risques : - Risque de SPOF. Si le pare-feu tombe en rideau les utilisateurs n'auront plus accès à certains services ( Internet ) . Ici, la solution serait de mettre en place une solution de haute-disponibilité (qui coûte cher).
- L'antivirus intégré au firewall ne pourrait être utilisée seulement en cas d'entrée/sortie sur Internet. Les postes ne sont donc pas protégés entre eux !
Solution: déployer une solution antivirus serveur sur un serveur et les clients+mises à jour diffusés sur chaque poste.
Quel est le risque si les PC ne sont pas à jour au niveau patches de sécurité, sachant que le Firewall est censé bloquer les attaques sur les failles connues ?
Cela dépend où le firewall est placé dans ton réseau.
Merci pour vos conseils éclairés...
En espérant que les miens te soient utiles.
--
Secboxen - Dialoguer pour une meilleure sécurité http://www.rezalfr.org/securite
F. Dunoyer [MVP]
Pararno avait énoncé :
Bonjour,
J'aimerais avoir l'avis de différentes personnes sur la stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP). TOUS les médias amovibles (disquettes, CD, clés USB) sont désactivés et/ou inaccessibles pour les utilisateurs.
La messagerie est protégée par un antivirus par notre fournisseur d'accès.
Le seul point d'entrée restant est donc notre futur accès internet.
Pour simplifier l'administration, j'ai l'intention de laisser les machines sans antivirus local, et de tout baser sur un firewall niveau 7 avec fonctionnalités antivirus (type Arkoon) et filtrage d'urls.
Je pense éliminer une grosse part des menaces en appliquant un filtrage assez strict des urls, ce qui évitera le surf sur des sites un peu louches.
Je précise que sur les 150 machines, il n'y aura qu'une quinzaine d'utilisateurs disposant d'un accès internet.
Quels sont les risques éventuels ? Quel est le risque si les PC ne sont pas à jour au niveau patches de sécurité, sachant que le Firewall est censé bloquer les attaques sur les failles connues ?
Merci pour vos conseils éclairés...
Ce qui me gène dans l'histoire, c'est que tes postes sont très vérouillés -> Contrainte ressentie en général pour les utilisateurs -> Frustrations -> tentatives de bypasser la sécurité
Est ce vraiment une nécessité pour la boite ? Y'aura t'il un information conséquente des utilisateurs sur la nécessité de leur restreindre les fonctionnalités de base (acces aux disquette par exemple).
J'ai constaté que souvent trop brider les postes amenait les utilisateurs a trouver les failles les plus tordues pour pouvoir continuer à effectuer des actions qui leurs semblent naturelles même si parfois ce sont les plus stériles en terme de productivité (comme mettre un économiseur d'écran idiot avec les photos des vacances).
Pour le reste tu as des réponses pertinentes sur la technique, mais il ne faut pas oublié le coté social et humain de la sécurisation des postes.
cordialement
-- François Dunoyer [MVP Windows Server / Security] Boite à outils NT/2000 : http://fds.mvps.org/ta/outils.htm Boite à Outils Admin : http://fds.mvps.org/ta/outils-Admin.htm Site perso : http://www.fdunoyer.net
Pararno avait énoncé :
Bonjour,
J'aimerais avoir l'avis de différentes personnes sur la
stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP).
TOUS les médias amovibles (disquettes, CD, clés USB) sont
désactivés et/ou inaccessibles pour les utilisateurs.
La messagerie est protégée par un antivirus par notre
fournisseur d'accès.
Le seul point d'entrée restant est donc notre futur accès
internet.
Pour simplifier l'administration, j'ai l'intention de
laisser les machines sans antivirus local, et de tout
baser sur un firewall niveau 7 avec fonctionnalités
antivirus (type Arkoon) et filtrage d'urls.
Je pense éliminer une grosse part des menaces en
appliquant un filtrage assez strict des urls, ce qui
évitera le surf sur des sites un peu louches.
Je précise que sur les 150 machines, il n'y aura qu'une
quinzaine d'utilisateurs disposant d'un accès internet.
Quels sont les risques éventuels ?
Quel est le risque si les PC ne sont pas à jour au niveau
patches de sécurité, sachant que le Firewall est censé
bloquer les attaques sur les failles connues ?
Merci pour vos conseils éclairés...
Ce qui me gène dans l'histoire, c'est que tes postes sont très
vérouillés -> Contrainte ressentie en général pour les utilisateurs ->
Frustrations -> tentatives de bypasser la sécurité
Est ce vraiment une nécessité pour la boite ?
Y'aura t'il un information conséquente des utilisateurs sur la
nécessité de leur restreindre les fonctionnalités de base (acces aux
disquette par exemple).
J'ai constaté que souvent trop brider les postes amenait les
utilisateurs a trouver les failles les plus tordues pour pouvoir
continuer à effectuer des actions qui leurs semblent naturelles même si
parfois ce sont les plus stériles en terme de productivité (comme
mettre un économiseur d'écran idiot avec les photos des vacances).
Pour le reste tu as des réponses pertinentes sur la technique, mais il
ne faut pas oublié le coté social et humain de la sécurisation des
postes.
cordialement
--
François Dunoyer [MVP Windows Server / Security]
Boite à outils NT/2000 : http://fds.mvps.org/ta/outils.htm
Boite à Outils Admin : http://fds.mvps.org/ta/outils-Admin.htm
Site perso : http://www.fdunoyer.net
J'aimerais avoir l'avis de différentes personnes sur la stratégie que je pense mettre en place sur mon réseau.
Soit environ 150 machines (PC sous NT, 2000 et XP). TOUS les médias amovibles (disquettes, CD, clés USB) sont désactivés et/ou inaccessibles pour les utilisateurs.
La messagerie est protégée par un antivirus par notre fournisseur d'accès.
Le seul point d'entrée restant est donc notre futur accès internet.
Pour simplifier l'administration, j'ai l'intention de laisser les machines sans antivirus local, et de tout baser sur un firewall niveau 7 avec fonctionnalités antivirus (type Arkoon) et filtrage d'urls.
Je pense éliminer une grosse part des menaces en appliquant un filtrage assez strict des urls, ce qui évitera le surf sur des sites un peu louches.
Je précise que sur les 150 machines, il n'y aura qu'une quinzaine d'utilisateurs disposant d'un accès internet.
Quels sont les risques éventuels ? Quel est le risque si les PC ne sont pas à jour au niveau patches de sécurité, sachant que le Firewall est censé bloquer les attaques sur les failles connues ?
Merci pour vos conseils éclairés...
Ce qui me gène dans l'histoire, c'est que tes postes sont très vérouillés -> Contrainte ressentie en général pour les utilisateurs -> Frustrations -> tentatives de bypasser la sécurité
Est ce vraiment une nécessité pour la boite ? Y'aura t'il un information conséquente des utilisateurs sur la nécessité de leur restreindre les fonctionnalités de base (acces aux disquette par exemple).
J'ai constaté que souvent trop brider les postes amenait les utilisateurs a trouver les failles les plus tordues pour pouvoir continuer à effectuer des actions qui leurs semblent naturelles même si parfois ce sont les plus stériles en terme de productivité (comme mettre un économiseur d'écran idiot avec les photos des vacances).
Pour le reste tu as des réponses pertinentes sur la technique, mais il ne faut pas oublié le coté social et humain de la sécurisation des postes.
cordialement
-- François Dunoyer [MVP Windows Server / Security] Boite à outils NT/2000 : http://fds.mvps.org/ta/outils.htm Boite à Outils Admin : http://fds.mvps.org/ta/outils-Admin.htm Site perso : http://www.fdunoyer.net
Pararno
Merci pour ton point de vue,
Je suis entièrement d'accord avec toi sur le côté "psychologique" à ne pas négliger dans cette stratégie. Cependant, le verrouillage des accès est effectif depuis longtemps dans ma société, et est complètement passé dans les moeurs. Nous ne rencontrons aucune difficulté notable liée à ce bridage des PC.
Salutations,
Arnaud
Ce qui me gène dans l'histoire, c'est que tes postes sont très
vérouillés -> Contrainte ressentie en général pour les utilisateurs ->
Frustrations -> tentatives de bypasser la sécurité
Est ce vraiment une nécessité pour la boite ? Y'aura t'il un information conséquente des utilisateurs sur la
nécessité de leur restreindre les fonctionnalités de base (acces aux
disquette par exemple).
J'ai constaté que souvent trop brider les postes amenait les
utilisateurs a trouver les failles les plus tordues pour pouvoir
continuer à effectuer des actions qui leurs semblent naturelles même si
parfois ce sont les plus stériles en terme de productivité (comme
mettre un économiseur d'écran idiot avec les photos des vacances).
Pour le reste tu as des réponses pertinentes sur la technique, mais il
ne faut pas oublié le coté social et humain de la sécurisation des
postes.
cordialement
Merci pour ton point de vue,
Je suis entièrement d'accord avec toi sur le
côté "psychologique" à ne pas négliger dans cette
stratégie.
Cependant, le verrouillage des accès est effectif depuis
longtemps dans ma société, et est complètement passé dans
les moeurs. Nous ne rencontrons aucune difficulté notable
liée à ce bridage des PC.
Salutations,
Arnaud
Ce qui me gène dans l'histoire, c'est que tes postes
sont très
vérouillés -> Contrainte ressentie en général pour les
utilisateurs ->
Frustrations -> tentatives de bypasser la sécurité
Est ce vraiment une nécessité pour la boite ?
Y'aura t'il un information conséquente des utilisateurs
sur la
nécessité de leur restreindre les fonctionnalités de
base (acces aux
disquette par exemple).
J'ai constaté que souvent trop brider les postes amenait
les
utilisateurs a trouver les failles les plus tordues pour
pouvoir
continuer à effectuer des actions qui leurs semblent
naturelles même si
parfois ce sont les plus stériles en terme de
productivité (comme
mettre un économiseur d'écran idiot avec les photos des
vacances).
Pour le reste tu as des réponses pertinentes sur la
technique, mais il
ne faut pas oublié le coté social et humain de la
sécurisation des
Je suis entièrement d'accord avec toi sur le côté "psychologique" à ne pas négliger dans cette stratégie. Cependant, le verrouillage des accès est effectif depuis longtemps dans ma société, et est complètement passé dans les moeurs. Nous ne rencontrons aucune difficulté notable liée à ce bridage des PC.
Salutations,
Arnaud
Ce qui me gène dans l'histoire, c'est que tes postes sont très
vérouillés -> Contrainte ressentie en général pour les utilisateurs ->
Frustrations -> tentatives de bypasser la sécurité
Est ce vraiment une nécessité pour la boite ? Y'aura t'il un information conséquente des utilisateurs sur la
nécessité de leur restreindre les fonctionnalités de base (acces aux
disquette par exemple).
J'ai constaté que souvent trop brider les postes amenait les
utilisateurs a trouver les failles les plus tordues pour pouvoir
continuer à effectuer des actions qui leurs semblent naturelles même si
parfois ce sont les plus stériles en terme de productivité (comme
mettre un économiseur d'écran idiot avec les photos des vacances).
Pour le reste tu as des réponses pertinentes sur la technique, mais il
ne faut pas oublié le coté social et humain de la sécurisation des
