Sécurité réseau - Sécurité - Windows & Software
Marsh Posté le 09-10-2006 à 16:16:39
oui je sais mais il faut que je mette un projet sur pied donc autant viser loin t'as pas d'autres idées?
Marsh Posté le 09-10-2006 à 16:23:25
Le plus gros trous de secu tfacon c'est les users.
Les sessions ouvertes (ca t'as deja l'idée de leur apprendre a fermer leur session)
Les docs qui reste sur les imprimantes.
Les clefs USB perdues avec ouatemille trucs ultra confidentiels dessus.
Les ordis portables pas attaché aux bureaux qui disparraisent (et palm et autres..)
Chte prete mon login/pass pour 2 sec (A vie en fait)
Sinon tu peux rajouter :
passwd 12 caracteres alphanumerique + caracteres speciaux renouvelable toutes les 3 semaines.
utiliser le cryptage des mails (et des données pourquoi pas, attention faire un backup de chaque certif user clef privé, en cas de crash du HDD user t'es bien content)
Un bon firewall->astaro
voila..
Marsh Posté le 09-10-2006 à 16:27:41
Moi au niveau firewall j'ai déja fait du mandriva en proxy firewall et honnetement une fois bien paramètrer s'est génial tu as d'autres idées???
Le trucs dans la boite ou je suis s'est que les utilisateurs sont peu e(une 20aine) et se communiquent fréquemment leur mdp...mais bon faut voir
Marsh Posté le 09-10-2006 à 17:04:17
Kinth a écrit : passwd 12 caracteres alphanumerique + caracteres speciaux renouvelable toutes les 3 semaines. |
+ post-it avec le mot de passe sur tous les ecrans car les utilisateurs ne feront jamais l'effort et/ou seront incapables de se souvenir de tout ça a une telle fréquence...
Sinon :
Citation : -faire un proxy gratuitement avec une petite mandriva, |
Absolument rien n'est gratuit en informatique. La licence ne te coutera peut etre rien, mais une machine a peu pres fiable pour faire tourné le truc si, de même que l'installation, la configuration et la maintenance du tout ça coute des sous.
A tu vraiment besoin d'un tel niveau de filtrage sur cette connexion ?
Et avant d'en arriver au cryptage-triphasé-plus-bifluoré, y'a des choses de base desquelles il faut s'assurer :
- mises a jour windows & co réguliere
- configuration sécu correcte des différents softs serveur, surtout ceux exposé d'une façon ou d'une autre sur le net
- vérification et resserage de tous les droits utilisateurs (genre ne pas avoir tout le monde admin de son poste ou pire du domaine)
- vérification de tous les droits d'acces aux serveurs (droits NTFS, droits sur le serveur de messagerie etc...)
Marsh Posté le 09-10-2006 à 17:14:57
Si je pense à une mandriva s'est que je connais bien le système étant donné que j'ai travaillé dessus un an et que s'est hyper fiable. La machine pour la faire tourner je peux l'avoir et je me suis déjà assurer des point que tu as cité à la fin de ton message
Marsh Posté le 09-10-2006 à 17:17:01
borgut a écrit : Si je pense à une mandriva s'est que je connais bien le système étant donné que j'ai travaillé dessus un an et que s'est hyper fiable. |
C'est vraiment pas la distrib la plus spécialisée pour ça.
Et que tu connaisses c'est une chose, que ça ai une réele utilité c'en est une autre.
Citation : La machine pour la faire tourner je peux l'avoir |
Si c'est pour prendre un vieux truc de recup qui va lacher dans 6 mois et dont personne ne va savoir quoi faire en cas de probleme quand tu auras fini ton stage, c'est pas la peine.
Marsh Posté le 09-10-2006 à 17:23:53
Je ne suis pas en stage je suis en alternance je peux avoir la machine car l'argent est la. La mandriva n'est peut être pas spécialisé dans ça mais est très performante quand même dans ce domaine notre administrateur réseau du lycée utilise ce système subit chaque nuit une 50aine d'attaque et le tout est toujours repoussé...
Marsh Posté le 10-10-2006 à 09:07:28
borgut a écrit : Je ne suis pas en stage je suis en alternance je peux avoir la machine car l'argent est la. La mandriva n'est peut être pas spécialisé dans ça mais est très performante quand même dans ce domaine notre administrateur réseau du lycée utilise ce système subit chaque nuit une 50aine d'attaque et le tout est toujours repoussé... |
Euh ça dépend de "l'attaque"
Par que sinon, n'importe quel routeur NAT est lui aussi capable de repoussé des "attaques".
Enfin pour les lycée (publique) ils ont surement un AMON et/ou un SLIS pour protéger tout ça.
Marsh Posté le 10-10-2006 à 10:49:14
deja, il te faut un veritable Firewall, qui filtre en entrée et en sortie.
tu dois pouvoir fair ca avec ta mandriva, tu doit meme pouvoir lui affecter une fonction de routeur.
le sommum serait de lui adjoindre un proxy (squid) pour ne pas en siter.
une autre securité : le DNS des utilisateurs ne sais pas resoudre les IP exterieur, seul ton Proxy le sait. si bien que pour sortir, il faut imperativement passer parcette machine.
bon apres, faut voir les imperatifs et le bugdget ... 20 personnes a "surveiller" c est pas comme 2000
Marsh Posté le 10-10-2006 à 13:21:22
mon modem fait deja routeur et firewall il faut que je ne m'occupe que de celui la ou la mise en place de la mandriva est plus judicieuse?
Marsh Posté le 10-10-2006 à 13:29:45
borgut a écrit : mon modem fait deja routeur et firewall il faut que je ne m'occupe que de celui la ou la mise en place de la mandriva est plus judicieuse? |
tu a pas donné la reference mais si c est du genre free/live/... tu oublie.
il te faut t assurer que ton Firewall est capable de filtrer en entrée et en sortie. et ca, j ai pas encors vu une box le fair convenablement.
dans le doute, moi je laisserais ton modem/routeur/Firewall uniquement en foinction de modem, ouvert en grand vers ta mandriva, et c est elle qui fera toutes ces fonctions.
Marsh Posté le 11-10-2006 à 08:39:32
Bon aujourd'hui dans mon réseau de 20 postes j'ai un SBS avec mes appli et ma messagerie interne qui va passer en externe si mon projet est validé.
j'ai un autre serveur avec un logiciel de pointage un logiciel pour blackberry et s'est tout!
En sécurité s'est un modem adsl qui fait routeur et firewall et sur le SBS un antivirus serveur--> client (panda)
Pour améliorer la sécurité réseau j'ai pensé le tout j'ai pensé à :
-informer et former rapidement les utilisateurs sur le verrouillage des postes,
-faire la mise à jour des sécurités Windows sur tous les postes(s'est fait),
-remplacer le navigateur Internet Explorer par Mozilla Firefox car ce dernier gère mieux es failles liées à Internet que IE,
-former les utilisateurs sur Firefox,
-faire définir un mot de passe à chaque utilisateur avec lettres chiffres et majuscules qui doit rester secret(voir à changer tous les 6 mois),
Premièrement j'ai beaucoup de problèmes de spam est ce que le exchange peut faire ça une fois utilisé en messagerie externe???
Deuxièmement j'aimerais en cas de panne serveur rétablir rapidement ces derniers...je possède une sauvegarde sur bande qui est faites tous les jours et la sauvegarde de la veille est sortie le soir...s'est bien ou il faut améliorer.
Troisièmement et en dernier point est ce qu'il faut que j'envisage pour l'instant d'après mon réseau un routeur proxy firewall (éventuellement antispam si le exchange ne gère pas ca)???
J'attends vos commentaires
Marsh Posté le 11-10-2006 à 09:15:56
borgut a écrit : -informer et former rapidement les utilisateurs sur le verrouillage des postes, |
Une GPO qui l'impose, c'est encore mieux.
Citation : -faire la mise à jour des sécurités Windows sur tous les postes(s'est fait), |
Juste les MAJ Windows c'est pas suffisant.
Citation : Premièrement j'ai beaucoup de problèmes de spam est ce que le exchange peut faire ça une fois utilisé en messagerie externe??? |
L'IMF d'Exchange filtre pas mal de chose s'il est tenu a jour régulierement, les filtre de courrier indésirable d'Outlook 2003/2007 aussi.
Mais c'est pas parfait.
Citation : Deuxièmement j'aimerais en cas de panne serveur rétablir rapidement ces derniers...je possède une sauvegarde sur bande qui est faites tous les jours et la sauvegarde de la veille est sortie le soir...s'est bien ou il faut améliorer. |
Une sauvegarde de quoi ? Ca sauvegarde l'etat du systeme ? Exchange ? Y'a une possibilité de disaster recovery ?
En cas de panne hard tu as une garantie sur site dans des délais raisonnables ?
Citation : Troisièmement et en dernier point est ce qu'il faut que j'envisage pour l'instant d'après mon réseau un routeur proxy firewall |
Est ce que tu penses qu'il y a un tel besoin dans ta boite ? Y'a des abus de l'utilisation du net par les utilisateurs ? Avoir un cache servirait il a quelque chose ? etc...
Parce qu'avec un 6104 on peut déjà faire pas mal de chose.
Et puis ce qu'une grande partie des gens oublie souvent c'est la sécurité physique des choses : tu peux bien vérouiller tout ce que tu veux en soft, si ton serveur traine dans len coin d'un bureau ouvert a tous avec les bandes de sauvegarde qui trainent dessus, c'est un peu bete.
Marsh Posté le 11-10-2006 à 12:15:29
Citation : Une GPO qui l'impose, c'est encore mieux. |
S'est vrai, s'est tout bête et je n'y avais pas penser.
Citation : Juste les MAJ Windows c'est pas suffisant. |
Que faire en plus sur les postes?
Citation : L'IMF d'Exchange filtre pas mal de chose s'il est tenu a jour régulierement, les filtre de courrier indésirable d'Outlook 2003/2007 aussi. |
Les filtres de courrier indésirable d'Outlook sont au niveau le plus élevé je compte sur Echange pour résoudre ce problème sinon quoi d'autre?
Citation : Une sauvegarde de quoi ? Ca sauvegarde l'etat du systeme ? Exchange ? Y'a une possibilité de disaster recovery ? |
Ma sauvegarde prend les bases de données l'Exchange et les données des users.disaster recovery????et je ne pense pas avoir une garantie sur site en cas de panne hard.
Citation : Est ce que tu penses qu'il y a un tel besoin dans ta boite ? Y'a des abus de l'utilisation du net par les utilisateurs ? Avoir un cache servirait il a quelque chose ? etc... |
je ne pense pas qu'il y ai d'abus sur le net pour l'instant s'est plus du préventif.
Citation : Et puis ce qu'une grande partie des gens oublie souvent c'est la sécurité physique des choses : tu peux bien vérouiller tout ce que tu veux en soft, si ton serveur traine dans len coin d'un bureau ouvert a tous avec les bandes de sauvegarde qui trainent dessus, c'est un peu bete. |
Les sauvegardes sont externalisées
Marsh Posté le 11-10-2006 à 12:29:56
borgut a écrit : Que faire en plus sur les postes? |
MAJ de sécu de TOUS les softs.
Citation : Les filtres de courrier indésirable d'Outlook sont au niveau le plus élevé |
Et il est tenu a jour ?
Et attention au niveau le plus élevé tu risques d'avoir plein de faux positifs.
Citation : je compte sur Echange pour résoudre ce problème sinon quoi d'autre? |
Y'a des tonnes de softs anti-spam pour Exchange.
Mon préféré est MailEssentials de GFI.
Citation : Ma sauvegarde prend les bases de données l'Exchange |
Comment ?
Citation : disaster recovery????et je ne pense pas avoir une garantie sur site en cas de panne hard. |
Et ben faut commencer par ça.
Citation : je ne pense pas qu'il y ai d'abus sur le net pour l'instant s'est plus du préventif. |
Le preventif c'est bien, mais rajouter un serveur a acheter et gérer avec tous les problemes que ça peut causer pour un eventuel probleme qui n'existe pas, bof. Faut pas tomber dans l'exces.
Marsh Posté le 12-10-2006 à 11:43:30
Salut, voici qques precautions que tu peux prendre en compte :
- met un mot de passe sur l'accès au bios de t machines, et desactive le boot sur le CD-DVD, USB, et Disquettes (risque de piratage grace a des disques genre PE-Builder ...)
- Desactive tous les services inutilisés dans windows (par défault il en active plein).
- Renomme tous les comptes Administrateurs de t machines et met leur un mot de passe beton que tu garderas bien sur .
- Desactive les comptes invités de t machines.
- Verifie que t disque dur soit en NTFS.
- Pour le cryptage des données, tu peux utiliser EFS. Attention ca chiffre sur une machine, et un réseau qui sont en NTFS. Par exemple sur c crypter et que tu balances tes fichiers sur du FAT ca va se déchiffrer.
- Pour les mdp de tes utilisateurs, en général on demande un mdp de 8 caractères alpha-numériques + caractères spéciaux car Windows prend ton mdp le découpe en 2 parties de 6 caractères (Bourrage si nécessaire), et hache ces 2 parties. Tu peux egalement faire une autentification forte avec des Token USB, ou carte a puce.
- Tu peux également faire un test de mdp pour demontrer que tu peux entrer sur leur compte à l'aide de LophCrack par exemple (demande a ton patron si tu peux avant )
- tu peux également activer un fonction dans AD qui te permet de tester la complexité des mdp saisi. Mais attention, si les mdp sont trop compliqués, les utilisateurs les noteront ssous leur clavier ou pire sur l'écran.
- Verrouille les comptes au bout de 3 min (Ctrl - Alt - Sup)
- Si t en domaine active kerberos, et ipsec (Activable dans A.D).
- Pour mettre à jour t windows, tu peux utiliser MBSA un soft de windows qui te scanne tout un réseaux si tu veux et te propose les mises à jour dispo ...
- Met en place des stratégie de comptes pour définir les types d'autorisations des utilisateurs. Ne les mets pas adminisatreur sous prétexe qu'ils veulent pourvoir installer la derniere mule
- Enfin, et je pense que c le plus important, fais leur un spitch sur la sécurité : " La sécurité, c'est l'affaire de tous, pas que de moi, je ne suis pas là pour vous faire chier, blabla ....."
Bon voila, il y a encore bcp de choses a faire, mais deja avec ca, t machines seront à peu près protégées. Sinon pour reveler des failles de ton système, tu peux utiliser des méthodes d'audits certifiées par la DCSSI et le CLUSIF, telles que EBIOS, MEHARI, AMDEC ... Tu trouveras toutes les procédures sur leur site. Et defini ensuite une politique de sécurité ...
Marsh Posté le 16-10-2006 à 14:43:06
Ouaaaah !!!
Bah mymy83 on peut dire que la tu m'en mets plein la figure...
Merci beaucoup as tu une méthode que tu utilises pour définir une politique de sécurité?
Marsh Posté le 16-10-2006 à 14:48:59
mymy83 a écrit : Salut, voici qques precautions que tu peux prendre en compte : |
Penser à mettre un cadenas à l'UC, sinon ce n'est pas très utile.
Marsh Posté le 17-10-2006 à 12:33:12
com21 a écrit : Penser à mettre un cadenas à l'UC, sinon ce n'est pas très utile. |
C vrai, tu as raison. Il faut egalement securiser l'acces au salle. Mais la c de la securite physique .
G egalement oublié, de te dire de changer tous les mots de passes par default notamment celui de ton modem-routeur.
Sinon pour defnir une politique de sécurité, tu peux soit en regardant l'ISO 27001 (remplacante de la 17 799) soit la definir a l'aide d'une methode d'analyse (ebios, mehari, marion ..., perso je te conseille Ebios - cf site de la dcssi). En fait cette methode te permet d'identifier les risques de ton Systeme d'info, et de la tu en definies une politique de secu. Mais attention, c un tres tres gros travail !!!
Marsh Posté le 17-10-2006 à 14:50:48
J'ai entendu que il y avait une version de MBSA qui permettait plus que de simplement détecter les MAJ non faites sur un réseau, apparemment il peut en plus lancer le téléchargement des MAJ sur le serveur qui possède l'appli et les dispatcher sur tous les postes qui ne l'ont pas...
Ca évite de télécharger 50 fois la même MAJ pour 20 pc et ça laisse de la BP pour le reste de l'entreprise...
Si tu connais tu peux me dire si s'est payant et comment ca s'appelle?
Marsh Posté le 17-10-2006 à 19:01:02
Euh tu veux parler de WSUS ? (cf topic WSUS).
Marsh Posté le 17-10-2006 à 19:01:46
ben j'en connais qu'un seul, c le mbsa normal. La je pense que effectivement tu dois pouvoir faire ce genre de chose. Renseigne toi sur le net (google est ton ami )
Marsh Posté le 18-10-2006 à 08:21:34
PAprès resnseignement s'est bien WSUS s'est bien ou vous me le déconseillé???
Il ne parlait pas de prix sur internet s'est gratuit?
Marsh Posté le 18-10-2006 à 08:54:37
C'est indispensable en réseau d'entreprise
C'est gratuit.
Marsh Posté le 09-11-2006 à 11:26:05
Bonjour à tous,
j'ai un probleme moi
Ils ont fait les installs de windows à l'arrache et donc pratiquement toutes les stations ne sont pas activables pour utiliser lesoutils crosoft de mise à jours auto.
Restes tjrs lewindows update mais bon pas vraiment sécuritaire à partir du moment ou c'est l'utilisateur du pc qui doit le lancer.
Vous savez si ya un moyen de refoutre les licences windows proprement sur les pcs ? J'ai deux tonnes de clés mais bon aucune idée de comment les rerendre valide.
Marsh Posté le 15-01-2007 à 14:25:40
tes clés sont des clé windows valides ? si oui tu peux toujours resaisir les clés avec cette méthode mais s'est ch**** a faire
http://www.generation-nt.com/astuc [...] indows-xp/
Marsh Posté le 09-10-2006 à 15:48:50
Bonjour à tous,
je suis dans un réseau d'entreprise d'une vingtaine de postes...un de mes soucis majeur LA SECURITE
Voila ce qu'il y a d'existant au niveau sécurité.
un pare feu intégré au modem adsl, un antivirus client-serveur(panda) et s'est tout.
Moi je pensais déja de base
-installer mozilla firefox sur tous les postes à mon avis mieux que IE
-faire un proxy gratuitement avec une petite mandriva,
-"former" les users afin qu'ils prennent l'habitude de verrouiller leur ordinateur
-mettre des mdp avec chiffre lettre et maj
-....
Après dites moi ce que vous en pensez et ce que je peux rajouter !