Strategie de securité en entreprise - Windows & Software
Marsh Posté le 30-12-2004 à 08:53:32
Pour les mots de passe, 8 caracteres mini avec au moins un chiffre, une lettre et un caractère spécial.
Changement tous les 3 mois avec 3 mdp gardés en mémoire.
Pour les droits ils avaient les droits d'admin, mais si ils merdaient on leur retirait. On avait config le fw pour bloquer tout ce qui etait P2P, sauf après 19h.
Un batch passait tous les soirs pour nettoyer les repertoires mis en réseau pour tout ce qui etait mpeg, mp3, jpg...
Marsh Posté le 30-12-2004 à 09:25:24
Ok, car moi j'ai des utilisateurs qui commencent a installer des daubes du style "Incredimail", je peut pas laisser passer ca ca ouvre un port sur le firewall cette merde, donc je pense que bientot tout les droits admin seront supprimés.
Par contre le batch qui degage tout les mp3 et autres c'est pas un peu rude? lol
Marsh Posté le 30-12-2004 à 09:27:37
Ben à l'epoque on etait short niveau espace disque, et quand tu voyais des mecs qui stockaient des gigas de meupeu3 sur les disques partagés on s'est dit qu'il y avait de l'abus, en + ça bouffait du temps dans la sauvegarde quotidienne.
Donc on leur a dit qu'ils pouvaient stocker ce qu'ils voulaient en local, mais que sur le reseau c'etait boulot only, ça me parait normal.
Pour les mecs qui installaient des daubes on a essayé de les sensibiliser, du style si vous installez n'importe quoi, on va mettre des restrictions et vous ne pourrez plus rien faire, même plus votre yahoo billard du midi, du coup ils se sont calmés
Marsh Posté le 30-12-2004 à 09:32:39
ok ca me parait juste, mieux vaut peut etre avertir que de tout couper de suite, j'ai pas envi d'etre la bete noire de la boite .
Mais bon, la faut avouer que on a un reseau tout neuf qui a 3 mois seulement, et il y a pas tout qui est correctement mis en place (Exchange et tout ca) tout les contacts des utilisateurs sont encore en local, j'aimerais tout balancer sur le serveur.
Et peut etre aussi mettre en place des profils errants, de manière a ce que tout le monde puissent acceder a ses contacts et son lecteur privé sur le serveur de n'importe lequel des postes.
Tu en penses quoi?
PS: je vais voire faire une recherche en ce qui concerne mp3 et autres sur les lecteurs reseau tient, je risque d'avoir de bonnes surprises......
Marsh Posté le 30-12-2004 à 09:38:11
Les profils errants ça peut etre une bonne idée, perso je m'y etais pas penché on avait fait un script au démarrage qui mappait les répertoires selon le nom d'utilisateur, comme ça chacun avait son truc.
J'imagine que tu as du 2000 server avec de l'AD ? Y'a pas mal de possibilités, nous c'etait du NT4 donc de suite moins confortable.
Avant de placer des restrictions on prevenait tjs, des fois un ou deux mails de prévention ça peut eviter de jouer le tortionnaire
Marsh Posté le 30-12-2004 à 09:42:48
le serveur c'est un sbs 2003 (vraiment bien) et au niveau client c'est que du XP avec 1 ou 2 2000 qui trainent, je vais penser a ton idée de script, ce serait peut etre un peu mieux que les profils errants.
Je viens de mater le lecteur reseau j'ai trouvé des tofs de clark de Smallville dessus
Marsh Posté le 30-12-2004 à 10:17:36
Salut !
Nous on a un reseau de 100 postes avec un 2K server qui gère tout ça.
DHCP, DNS, strat de secu,etc.
Les profils itinérants sont vraiment une bonne idée. J'ai mis ça en place et c'est royal ! qd tu réinstalles un poste ou qu'un utilisateur doit travailler sur un autre poste...il a juste à resaisir son login et pass et hop il retrouve tout son environnement de travail. Et pas seulement les lecteurs reseau. Par là j'entend, son bureau, ses favoris,etc...et ça les utilisateurs y pretent une grande attention.
Pour la strat, on a mis les user en "utilisateur du domaine". Le pb en revanche apparait av certaine appli qu'il faut paramétrer (droits) pour qu'elles s'executent sans les droits admin.
Les téléchargements sont interdits tout comme l'installation de soft.
Y'a bcq de chose réalisable avec les strats 2000-2003 et des clts 2K/XP.
Les MP3,etc sont interdits sur le serveur de prod. On tolère en local.
Tous les 6 mois on fait un audit sur le serveur pour voir les + gros consommateurs...desfois y'a de belles surprises !
Pour les mises à jour critiques de Windows on a installé un serveur SUS...c'est plus souple que de devoir passer sur 100 postes... :-)
J'espère t'avoir aidé un peu.
Bonnes Fêtes.
Doudou.
Marsh Posté le 30-12-2004 à 10:36:58
Le serveur SUS je suis en train d'etudier ca ca me parait legerement indispensable de nos jours.
Vous utilisez quoi comme machine pour le serveur SUS?
sinon au niveau de l'audit dont tu me parles, ca te donne quoi comme données?
Quelles logiciels utilises tu pour cela?
Merci pour tes reponses
Nico
Marsh Posté le 30-12-2004 à 10:41:51
perso j'ai serveur d'impression + sus sur la meme machine
Marsh Posté le 30-12-2004 à 10:42:01
Pour SUS, on a pris un serveur Dell avec Raid IDE. Pas très cher, bon produit. Il nous sert également en tant que serveur de stockage de photos numériques.
Pour les audits, je fais tourner un soft qui s'appelle "disk data".
ça me sort des graphs d'occupation du disque dur avec les répertoires.
Cdt,
Marsh Posté le 31-12-2004 à 09:07:29
Pour le SUS comment ce passe les MaJ, il faut que les postes clients restent allmumés?
Car j'aimerais qu'ils fassent les MaJ tranquillement la nuit pour gener personnes.
Marsh Posté le 31-12-2004 à 09:09:19
Tu planifies avec le service windows update de XP/2000
Tu peux mettre l'heure que tu veux, mais le PC doit etre allumé.
Marsh Posté le 31-12-2004 à 09:14:24
ok, ca doit etre aussi possible de planifier le reboot à la fin?
Marsh Posté le 31-12-2004 à 12:22:13
tu peux, tout simplement, forcé le reboot des pc à une heure précise.
Marsh Posté le 31-12-2004 à 14:54:19
Moi je fais faire les installs à 13 heures, y a pas grand monde à cette heure qui bosse, et en cas de pb je suis là pour dépanner. Pour le serveur SUS, j'ai fait au plus simple : j'ai pris un pc standard ( PIV 2,4 GHZ; 38 GO DD, 512 MO de RAM) où j'ai mis windows 2000 server dessus.
Nous n'avons pas mis les profils errant, car on a lotus notes en messagerie et on met des répliques des bases dans le profils, alors chargés des profils de plusieurs centaines de mégas à tous bout de champs, c'est pas génial. en plus avec l'ad on peut leur mettre facilement un dossier réseau par déafut, ce serait dommage de pas en profiter
Enfin on a laissé les utilisateurs admin de leurs postes. Au début on les avait mis utilisateurs standard, mais sa posait plus de problèmes que ça en résolvait. En plus si les utilisateurs font des Conner..s sur leur postes, je remasterise le tout avec ghost...
Marsh Posté le 30-12-2004 à 08:45:37
Bonjour,
Si il y a des admin systemes sur ce forum, quelles strategies de securité adoptez vous pour votre entrepise? au niveau des passes des utilisateurs du reseau? et au niveau des modificiations que l'utilisateur peut lui meme effectuer dans windows? (du style installation de programmes, acces à internet etc...)
Je gère une 30aine de postes et je fais actuèllement des recherches à ce niveau. Merci.
Nico