Sécurité sur parc hétérogène

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Sécurité sur parc hétérogène

Messagede frenchjesus » 19 Jan 2005, 11:31

Bonjour à tous,

Je suis chargé de l'entretien du parc d'une société, environ 150 machines.Malheureusement le parc est très hétérogène (du xp pro, familial, 2000, et beaucoup de 98) et la sécurité est très difficile à assurer. Je compte les spywares et les virus par dizaine sur chaque poste, je purge encore et encore mais ils reviennent immanquablemment (98 est une vraie passoire).
Le plus simple serait de tout passer sous XP, mais certaines applications ne fonctionnnent que sous 98, d'autres ne supportent pas le sp2.
Il y a un antivirus installé mais pas de firewall.

Existent-ils des personnes dans mon cas, qui ont su gérer une situation pareille ? Je pense sécuriser à fond les postes qui le peuvent (xp+sp2), mais pour le reste (surtout les 98) je suis désespéré :(
frenchjesus
 
Messages: 7
Inscription: 19 Jan 2005, 10:34

Messagede Ravana » 19 Jan 2005, 11:41

Slt !

Si tu as un serveur 2k ou 2k3, tu devrais (si ce n'est pas le cas) intégré les machines 9x au domaine
et appliqué les stratégies de sécurité...
la première étape à mon sens, sera de bloquer les paramètres d'IE via un IEAK par exemple...
Fais des Windows Update de t 98 aussi et à mon humble avis.. install un SUS (ou WUS)...

Pourrais tu developper un peu plus ton réseau pour nous indiquer ce qui serai possible de te conseiller ?
Et explique (si possible) aussi ton context : quel sont t besoin, ceux de tes utilisateurs, etc...
RENONCE Ravana
Président-Fondateur / Webmaster de Mal-Au-Net
Surfez Couvert !!!!
http://www.mal-au-net.com
--------------------------------------------------
Config 1 : iBook G4 MacOs X, Safari/Entourage 2k4...
Config 2 : Dell Optiplex GX 150, Windows 2K3 serveur, IE6, The Bat/Foxmail...
Ravana
 
Messages: 62
Inscription: 07 Aoû 2004, 14:24
Localisation: Paris, France

Messagede Invité » 19 Jan 2005, 12:22

Malheureusement il est impossible d'ajouter un annuaire, d'appliquer des stratégies et lancer un SUS, ils ont plusieurs sites en france et dans le monde et il faudrait passer par une migration.

Mes utilisateurs doivent pouvoir utiliser outlook, office, ie et des applications spécifiques.
Quand à moi j'aimerais pouvoir travailler sur des problèmes plus complexes et intéressants au lieu de passer mes journées à désinfecter des bécanes :(
Invité
 

Messagede Ravana » 19 Jan 2005, 12:27

Ton réseau est en Workgroup ou Domaine ?
Si Domaine : Windows xx Server ?

noan ? :'(
RENONCE Ravana
Président-Fondateur / Webmaster de Mal-Au-Net
Surfez Couvert !!!!
http://www.mal-au-net.com
--------------------------------------------------
Config 1 : iBook G4 MacOs X, Safari/Entourage 2k4...
Config 2 : Dell Optiplex GX 150, Windows 2K3 serveur, IE6, The Bat/Foxmail...
Ravana
 
Messages: 62
Inscription: 07 Aoû 2004, 14:24
Localisation: Paris, France

Messagede Invité » 19 Jan 2005, 13:33

Il y a un nom de domaine, mais les serveurs sont sous NT4.
Invité
 

Messagede césar » 19 Jan 2005, 19:04

bonjour,

windows 98 est moins sécurisable que 2000/xp, ceci-dit, avec quelques astuces on peut réduire les risques (j'ai moi-même utilisé win 98 pendant 2 ou 3 ans sans problèmes).
pour commencer, par exemple, en passant d'internet explorer à un autre navigateur (opera, mozilla...) on réduit les risques d'au moins 70%. je sais que ça peut paraître exagéré, mais c'est vrai.
d'autre part, tu peux aussi sécuriser internet explorer .
jette un oeil sur ces pages :
http://assiste.com.free.fr/p/internet_c ... ctivex.php
http://assiste.com.free.fr/p/comment/de ... ans_ie.php
http://assiste.com.free.fr/p/internet_c ... i_java.php
je te conseille également, une fois que la machine est nettoyée, d'installer spyware blaster qui va couper l'herbe sous le pied des spyware en installant des leurres dans la bdr, qui empêcheront les vrais spywares de s'installer.
ainsi que startup monitor qui va surveiller la liste de démarrage et te prévenir à chaque fois qu'elle est modifiée. attention ! startup monitor de n'importe quel changement de la liste, que ce soit par un produit malveillant ou un produit normal.
ex : si tu es en train d'installer un antivirus, startup monitor te demande si tu veux bien que l'av soit lancé au démarrage; tu réponds "oui".
tu es en train de surfer sur un site quelconque et startup te lance une alerte (ça m'est déjà arrivé sur un site de crack - je sais c'est pas bien) tu dis "non".
tu es en train d'installer quicktime. là c'est à toi de décider s'il est utile que quicktime soit actif dès le démarrage ou non. moi je dirais non.
voilà quelques pistes, j'espère t'avoir aidé.
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Re: Sécurité sur parc hétérogène

Messagede Tesgaz » 19 Jan 2005, 20:21

frenchjesus a écrit:Bonjour à tous,

Je suis chargé de l'entretien du parc d'une société, environ 150 machines.Malheureusement le parc est très hétérogène (du xp pro, familial, 2000, et beaucoup de 98) et la sécurité est très difficile à assurer. Je compte les spywares et les virus par dizaine sur chaque poste, je purge encore et encore mais ils reviennent immanquablemment (98 est une vraie passoire).
Le plus simple serait de tout passer sous XP, mais certaines applications ne fonctionnnent que sous 98, d'autres ne supportent pas le sp2.
Il y a un antivirus installé mais pas de firewall.

Existent-ils des personnes dans mon cas, qui ont su gérer une situation pareille ? Je pense sécuriser à fond les postes qui le peuvent (xp+sp2), mais pour le reste (surtout les 98) je suis désespéré :(


Salut,

Puisque tu es chargé de gérer un parc informatique, tu es également force de proposition, c'est à toi d'expliquer à l'entreprise les divers besoins et problèmes qu'elle rencontre.

Fais un croquis avec plusieurs propositions en fonction de l'utilisation des divers salariés et de l'entreprise, car il est difficile de donner des conseils dans ce genre de situation sans avoir vu le matériel, la distance qui sépare les pc, les points d'accés au net ou pas, les bases de données ou les divers services de gestion, etc..

150 pcs nécessitent un serveur correctement configuré, si possible un firewall avant le serveur type "smoothwall "
éventuellement, un proxy pour autoriser certains à acceder au net ou pas, que tu fais en relation avec la DRH
et des serveurs en fonction des services, un antivirus sur le serveur qui scanne tous les pcs la nuit et scanne tous les mails sur le serveur de mail interne à l'entreprise, defragmente, etc ...

N'oublie pas de dire au patron que c'est lui qui est le garant de ce qui se passe sur les pc, création d'une charte informatique à annexer dans le réglement intérieur à propos de l'utilisation des pcs dans l'entreprise, etc..
la sécurité de ses comptes clients, plein de trucs auquel il ne pense pas toujours et qui sont super importants.

le temps que tu passes à nettoyer ne coûtera pas guère plus cher en modifications et sera hautement plus qualifiant que supprimer des virus
un beau serveur linux, avec l'utilisation de Webmin pour gérer tout ca à distance, un vrai challenge

voila, un beau projet en perspective ;)


bon courage
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede pierre » 19 Jan 2005, 21:51

Bonjour

100% d'accord avec Tesgaz

L'un des principes de la sécurisation de ton réseau est le goulet d'étranglement. Toutes les connexions entrantes et sortantes doivent passer par un unique point doté d'un pare-feu. Il est étonnant qu'avec cette taille, ce réseau ne soit pas protégé. Tu vas te ruiner la santé à courir d'une machine à une autre. Le temps de survie d'une machine Windows "out of the box" est de 4 minutes avant attaque réussie !

Faire l'inventaire des besoins en terme de ressources.

Les virus ne sont pas tous entrés par http mais certainement par des pièces jointes dans la messagerie. Est-ce que l'antivirus gère bien l'analyse des pièces jointes?

Y a t'il du P2P chez les utilisateurs ? Est-ce une nécessité professionnelle ( nomades ou travailleurs à domicile avec échange de documents...) ? Si "non" utiliser un pare-feu à NAT dynamique ce qui va considérablement gêner l'établissement de la connexion, le pare-feu ne sachant pas à quelle machine renvoyer une requête.

Y a t'il des modems sauvages branchés sur le réseau téléphonique ?

Y a t'il besoin d'ActiveX. Si "non", passer tous les utilisateurs à FireFox et expliquer la raison de ce changement au personnel pour obtenir son adhésion aux nouvelles habitudes à acquérir.

S'assurer que tous les postes mobiles (les portables des commerciaux, de la direction... ) sont équipés d'un pare-feu logiciel afin qu'ils soient toujours protégés hors du réseau interne.

Mettre les proxy (en installer s'il n'y en a pas) en sandwich entre 2 pare-feu afin de créer une zone totalement démilitarisée.

Tous les ports USB (maudites clés USB), les lecteurs de CD, de DVD, les lecteurs de disquettes doivent être retirés sauf besoin impérieux.

On peut également créer des zones (administration/salaires/compta séparées par pare-feu de recherche/développement; force de vente; ... selon l'organisation).

Utiliser un antivirus et un anti-trojan "corporate" totalement administrable et déployable depuis votre bureau, etc. ...

Vendre l'idée que ton salaire uniquement employé à décontaminer des machines coûte beaucoup plus cher que l'installation de 2 pare-feu et le paramétrages de leurs tables.

Tiens, dessiné en 15 minutes, un schéma classique qui doit être "vendeur".

Image

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26646
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede piratebab » 19 Jan 2005, 22:25

Bonsoir,
pour avoir vécu la sécurisation d'un réseau d'entreprise en tant qu'utilisateur (et pas des plus facile, car ayant des connaissances en informatiques approximatives à l'époque, et étant curieux, je leur ai donné des sueurs froides!).
Voici les étapes qui m'ont semblées les plus frappantes:
suppression de tous les modems "sauvages", et changement au niveau du central téléphonique pour que les modems ne passent plus (sauf sur certains téléphones bien identifiés)
Installation d'un antivirus avec mise à jour journaliére automatique, et scan hebdomadaire
Utilisation d'un proxi pour internet interdisant le P2P, et l'accès à tout site non professionnel (sex, musique, ...)
Utilisation d'un serveur de courrier qui surveille les piéces jointes
Quand à la clef USB, je ne suis pas d'accord avec Pierre. C'est souvent très utile, et un bon antivirus limite les dégats!

Si ça peux t'aider ...
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5716
Inscription: 30 Aoû 2004, 18:20

Messagede pierre » 19 Jan 2005, 22:54

Bonsoir Piratebab,

Avec une clé USB il me faut 2 minutes pour copier tous les fichiers de mots de passe de tout le réseau et aller tranquillement les casser chez moi, même s'il s'agit d'empreintes irréversibles de mots de passe (hash type md5) et pas de mots de passe cryptés.

Avec une clé USB, je pompe un projet, un prototype, les comptes etc. ... en quelques secondes...

Avec une clé USB, je dépose et installe un keylogger

Etc. ...

Avec un cd ou un dvd aussi

La sécurisation est un problème, à 80%, d'accès physique d'hommes et de femmes aux machines, incluant le personnel de surface (d'entretien), la nuit, les gardiens, les techniciens de maintenance, tout le personnel etc. ... bien avant les virus et les chevaux de Troie.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26646
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 17 invités