Sécurité sur parc hétérogène

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Tesgaz » 19 Jan 2005, 23:03

Bonsoir,

100% d'accord avec Pierre

la sécurité c'est un ensemble et le personnel est le premier maillon faible de la chaine
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede piratebab » 19 Jan 2005, 23:06

Bonsoir,
tout à fait d'accord avec toi Pierre. Rien ne pourra empêcher une personne malveillante et déterminée de faire des dégâts. Mais une entreprise fonctionne avec des hommes et des femmes en qui il faut faire un minimum de confiance. La sécurité dans ce type de réseau passe avant tout par une formation, et une bonne protection contre les manips "basiques" et a priori sans mauvaises intentions (surf à risques, effacement de fichiers, ...) limite les dégats.
Il est évident que les données "sensibles" doivent être sur un serveur digne de ce nom, autant du coté hardware (Raid 5 par exemple) que logiciel (Apache sous Linux est le choix de ma boîte, et me semble très raisonnable).
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5736
Inscription: 30 Aoû 2004, 18:20

Messagede Tesgaz » 19 Jan 2005, 23:24

piratebab a écrit:Bonsoir,
tout à fait d'accord avec toi pierre. Rien ne pourra empêcher une personne malveillante et déterminée de faire des dégâts. Mais une entreprise fonctionne avec des hommes et des femmes en qui il faut faire un minimum de confiance. La sécurité dans ce type de réseau passe avant tout par une formation, et une bonne protection contre les manips "basiques" et a priori sans mauvaises intentions (surf à risques, effacement de fichiers, ...) limite les dégâts.
Il est évident que les données "sensibles" doivent être sur un serveur digne de ce nom, autant du coté hardware (Raid 5 par exemple) que logiciel (Apache sous Linux est le choix de ma boîte, et me semble très raisonnable).


bonsoir piratebab,

tout le problème est là justement, la formation !
C'est le 1er bugdet qu'on sacrifie dans une entreprise, alors que former le personnel sur leur tache respective est déja rarement fait, alors imagine les former sur l'informatique ?

Très peu d'entreprises travaillent dans cette optique, c'est bien dommage d'ailleurs, mais c'est comme ca pratiquement partout.

Entre nous, avec 150 pc, une entreprise devrait avoir déjà un administrateur réseau à temps plein, avec des consultants en sécurité qui viennent régulierement faire des audits de fonctionnement, etc..

tu vois, frenchjesus a du boulot en perspective...
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede frenchjesus » 20 Jan 2005, 09:27

Merci beaucoup pour vos réponses, je verrais ça avec le responsable réseau du site. La prioirité me semblait aussi de mettre un bon pare-feu. Le proxy est une très bonne idée. Le problème étant la conception même du réseau (du bricolage auquel on a ajouté des serveurs et des pc n'importe comment). Tout dépendra si on lui permet ou non de débloquer des crédits ( les responsables internationaux sont au courant de la situation mais semble s'en foutre royalement).

Quelques précisions :

- je suis une formation en alternance, alors le serveur linux ca ne sera pas pour moi, du moins pas avant quelques mois :)
-il y a un antivirus, trend micro ( je crois que c'est le pire), avec des analyses temps réel et programmées.Il semble cependant faire son boulot (10 virus par poste...youpi)
- il y a des clés usb impossible à retirer, mais si je ne peux pas faire confiance au personnel je ne pourrais pas m'en sortir (impossible de mettre un flic dans le dos de 500 personnes...)
- pour le p2p je ne sais pas encore, mais que je retrouve des divx et des mp3 sur les postes, je me doute que ça télécharge pas mal.
-il y a des portables mais je connais rien de leur configuration (!)
- je ne me déplace sur le site qu'un jour par semaine, et d'ici quelques semaines je serais le seul technicien à opérer sur le site (auparavant deux de mes collègues se relayaient).
-il n'y a pas de modems (à ma connaissance)
frenchjesus
 
Messages: 7
Inscription: 19 Jan 2005, 10:34

Messagede pierre » 20 Jan 2005, 12:02

Bonjour,

Je ne pense pas que Trend soit un mauvais antivirus mais la mise en place de proxy permet, par exemple, de chaîner des antivirus. On garde Trend sur le serveur SMTP et on met un second antivirus, d'un autre éditeur, sur le proxy SMTP de manière à élargir le spectre d'analyse et, surtout, bénéficier d'une meilleure couverture temporelle en jouant la plus ou moins grande rapidité de réaction des uns et des autres aux émergences de nouveaux virus. On peut en profiter pour utiliser un second antivirus gratuit comme le projet open source ClamAV si les budgets sont limités.

Il faut obtenir l'adhésion du personnel. Ceci passe par leur compréhension des mesures mises en places qui doivent être amenées comme un plus pour la sécurité de leur outil de travail et leur entreprise donc leur emploi et leur confort de travail et non comme une mesure coercitive et une brimade. Un employé qui voit son travail détruit par un virus, non seulement vit dans l’angoisse de la justification de son manque de productivité mais met en péril l’ensemble de l’outil de travail et donc la communauté des employés.

10 virus par machine dans un environnement professionnel !!! Lorsque l’on voit les détresses, sur ce forum, provoquées par la découverte d’un seul virus sur une machine domestique…

C’est le moment de faire une petite série de conférences bien motivantes au personnel dans lesquelles l’adhésion serait totale car le bénéfice serait double : l'assimilation de la sécurisation de leur ordinateur perso et de leur poste de travail pro.

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27555
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede césar » 20 Jan 2005, 18:43

pierre a écrit:Bonsoir Piratebab,

Avec une clé USB il me faut 2 minutes pour copier tous les fichiers de mots de passe de tout le réseau et aller tranquillement les casser chez moi, même s'il s'agit d'empreintes irréversibles de mots de passe (hash type md5) et pas de mots de passe cryptés.

Avec une clé USB, je pompe un projet, un prototype, les comptes etc. ... en quelques secondes...

Avec une clé USB, je dépose et installe un keylogger

Etc. ...

Avec un cd ou un dvd aussi

bonjour Pierre,

ces remarques sont intéressantes, mais je suppose quand même que s'ils ont 150 ordinateurs, ce n'est pas seulement pour aller sur internet ou communiquer d'un ordinateur à l'autre. je suppose qu'il doivent faire des dossiers et en faire des sauvegardes. c'est là que les lecteurs et les clés usb deviennent utiles, voire indispensables.
@ plus
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Tesgaz » 20 Jan 2005, 19:29

Salut cesar,

si le serveur est bien paramétré, il peut faire un backup de tous les dossiers du personnel chaque nuit,
pas besoin de clé USB
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede jmm » 20 Jan 2005, 20:35

Bonsoir,

frenchjesus, je travaille dans une grande entreprise française : 140 000 salariés dans 130 pays ; plus de 1500 PC sur le site où je travaille.
Le tout est en réseau (via satellite lorsque c'est nécessaire). Je n'y suis pas informaticien et la config sécurité détaillée, je ne la connais pas (même si mes conctacts avec les informaticiens m'en ont appris un peu plus que la moyenne - est-ce bien raisonnable ?) : l'info n'est pas disponible pour l'utilisateur de base.

L'ensemble fonctionne sur le principe d'une configuration de base pour TOUT le monde. Quelques éléments de ce que je connais :

- à l'heure actuelle, tout ce qui n'est pas sous XP Pro est interdit de réseau (éventuellement - et si on ne peut pas faire autrement - on peut "voir" un disque Unix pour le partage des données - accès avec pwd crypté).

- pour les applications spécifiques qui demandent un autre OS on se reporte au paragraphe ci-dessus ou on les change.

- la configuration de XP Pro interdit aux utilisateurs d'installer quoique ce soit sur leur machine (pas touche aux dossiers système ni à la bdr notamment).

- un antivirus est installé sur CHAQUE machine (version "corporate" pour laquelle on peut négocier beaucoup de "choses" avec l'éditeur). Celà résoud une partie des problèmes engendrés par les clés USB, les consultants qui viennent avec leurs portables...).

- proxy et firewall matériel.

- accès Internet limité : il existe divers logiciels qui peuvent gérer ce type de soucis.

- Outlook BANNI.

- la grande majorité des installations ou mises à jour se font via le réseau. Les installations spécifiques ne peuvent être faites que par un administrateur. Si la config matérielle doit être changée (installation d'une carte par exemple), deux administrateurs sont nécessaires : un pour le pwd de démarrage après ouverture de la tour, un pour l'installation des drivers.

- mot de passe des utilisateurs à changer tous les trois mois (au moins 6 caractères, et différents d'au moins 4 caractères des 6 mots de passe précédents).

- la sécurité informatique NE PEUT PAS ETRE SOUS-TRAITEE...

Malgré tout celà il arrive d'être confronté à des contrariétés ! Il faut savoir ce que l'on veut...

Cheers,

Jmm.
Les ennuis, c'est comme le papier hygiénique : t'en tires un, il y en a dix qui viennent !. Woody Allen
Mes configs
Avatar de l’utilisateur
jmm
 
Messages: 193
Inscription: 24 Déc 2004, 09:19

Messagede piratebab » 20 Jan 2005, 21:50

Bonsoir jmm,
dans ma boite aussi c'est relativement sécurisé, mais moins que pour toi. Mais quand même mots de passe à changer tout les mois, etc.
Avant de me lancer définitivement sur Linux, j'ai essayé un CD bootable de Shinux sur mon PC, et sans rentrer le moindre mot de passe, j'avais accès à tous mes dossiers :Mouaaarrrrffffffff:
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5736
Inscription: 30 Aoû 2004, 18:20

Messagede jmm » 20 Jan 2005, 23:08

Hello Piratebab,

Non le changement de mot de passe c'est tous les 3 mois...

Si dans ta boite tu peux "booter" ta machine sur autre chose (cd, disquette, disque externe...) que le disque système puis te "logger" autrement qu'à travers un serveur réseau sécurisé... il y a des choses à revoir sérieusement !

Cheers,

Jmm.
Les ennuis, c'est comme le papier hygiénique : t'en tires un, il y en a dix qui viennent !. Woody Allen
Mes configs
Avatar de l’utilisateur
jmm
 
Messages: 193
Inscription: 24 Déc 2004, 09:19

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités