Bonjour,
 
Si il y a des admin systemes sur ce forum, quelles strategies de securité adoptez vous pour votre entrepise? au niveau des passes des utilisateurs du reseau? et au niveau des modificiations que l'utilisateur peut lui meme effectuer dans windows? (du style installation de programmes, acces à internet etc...)
Je gère une 30aine de postes et je fais actuèllement des recherches à ce niveau. Merci.
 
Nico

Pour les mots de passe, 8 caracteres mini avec au moins un chiffre, une lettre et un caractère spécial.
Changement tous les 3 mois avec 3 mdp gardés en mémoire.
 
Pour les droits ils avaient les droits d'admin, mais si ils merdaient on leur retirait. On avait config le fw pour bloquer tout ce qui etait P2P, sauf après 19h.
 
Un batch passait tous les soirs pour nettoyer les repertoires mis en réseau pour tout ce qui etait mpeg, mp3, jpg...

Ok, car moi j'ai des utilisateurs qui commencent a installer des daubes du style "Incredimail", je peut pas laisser passer ca   ca ouvre un port sur le firewall cette merde, donc je pense que bientot tout les droits admin seront supprimés.
 
Par contre le batch qui degage tout les mp3 et autres c'est pas un peu rude? lol

Ben à l'epoque on etait short niveau espace disque, et quand tu voyais des mecs qui stockaient des gigas de meupeu3 sur les disques partagés on s'est dit qu'il y avait de l'abus, en + ça bouffait du temps dans la sauvegarde quotidienne.
 
Donc on leur a dit qu'ils pouvaient stocker ce qu'ils voulaient en local, mais que sur le reseau c'etait boulot only, ça me parait normal.
 
Pour les mecs qui installaient des daubes on a essayé de les sensibiliser, du style si vous installez n'importe quoi, on va mettre des restrictions et vous ne pourrez plus rien faire, même plus votre yahoo billard du midi, du coup ils se sont calmés

ok ca me parait juste, mieux vaut peut etre avertir que de tout couper de suite, j'ai pas envi d'etre la bete noire de la boite   .
Mais bon, la faut avouer que on a un reseau tout neuf qui a 3 mois seulement, et il y a pas tout qui est correctement mis en place (Exchange et tout ca) tout les contacts des utilisateurs sont encore en local, j'aimerais tout balancer sur le serveur.
Et peut etre aussi mettre en place des profils errants, de manière a ce que tout le monde puissent acceder a ses contacts et son lecteur privé sur le serveur de n'importe lequel des postes.
 
Tu en penses quoi?
 
PS: je vais voire faire une recherche en ce qui concerne mp3 et autres sur les lecteurs reseau tient, je risque d'avoir de bonnes surprises......  

Les profils errants ça peut etre une bonne idée, perso je m'y etais pas penché on avait fait un script au démarrage qui mappait les répertoires selon le nom d'utilisateur, comme ça chacun avait son truc.
 
J'imagine que tu as du 2000 server avec de l'AD ? Y'a pas mal de possibilités, nous c'etait du NT4 donc de suite moins confortable.
 
Avant de placer des restrictions on prevenait tjs, des fois un ou deux mails de prévention ça peut eviter de jouer le tortionnaire

le serveur c'est un sbs 2003 (vraiment bien) et au niveau client c'est que du XP avec 1 ou 2 2000 qui trainent, je vais penser a ton idée de script, ce serait peut etre un peu mieux que les profils errants.
 
Je viens de mater le lecteur reseau j'ai trouvé des tofs de clark de Smallville dessus    

Salut !
 
Nous on a un reseau de 100 postes avec un 2K server qui gère tout ça.
DHCP, DNS, strat de secu,etc.
 
Les profils itinérants sont vraiment une bonne idée. J'ai mis ça en place et c'est royal ! qd tu réinstalles un poste ou qu'un utilisateur doit travailler sur un autre poste...il a juste à resaisir son login et pass et hop il retrouve tout son environnement de travail. Et pas seulement les lecteurs reseau. Par là j'entend, son bureau, ses favoris,etc...et ça les utilisateurs y pretent une grande attention.
 
Pour la strat, on a mis les user en "utilisateur du domaine". Le pb en revanche apparait av certaine appli qu'il faut paramétrer (droits) pour qu'elles s'executent sans les droits admin.
Les téléchargements sont interdits tout comme l'installation de soft.
Y'a bcq de chose réalisable avec les strats 2000-2003 et des clts 2K/XP.
 
Les MP3,etc sont interdits sur le serveur de prod. On tolère en local.
Tous les 6 mois on fait un audit sur le serveur pour voir les + gros consommateurs...desfois y'a de belles surprises !
 
Pour les mises à jour critiques de Windows on a installé un serveur SUS...c'est plus souple que de devoir passer sur 100 postes... :-)
 
J'espère t'avoir aidé un peu.
 
Bonnes Fêtes.
Doudou.

Le serveur SUS je suis en train d'etudier ca ca me parait legerement indispensable de nos jours.
Vous utilisez quoi comme machine pour le serveur SUS?
sinon au niveau de l'audit dont tu me parles, ca te donne quoi comme données?
Quelles logiciels utilises tu pour cela?
 
Merci pour tes reponses
 
Nico

perso j'ai  serveur d'impression + sus  sur la meme machine

Pour SUS, on a pris un serveur Dell avec Raid IDE. Pas très cher, bon produit. Il nous sert également en tant que serveur de stockage de photos numériques.
 
Pour les audits, je fais tourner un soft qui s'appelle "disk data".
ça me sort des graphs d'occupation du disque dur avec les répertoires.
 
Cdt,

Pour le SUS comment ce passe les MaJ, il faut que les postes clients restent allmumés?
 
Car j'aimerais qu'ils fassent les MaJ tranquillement la nuit pour gener personnes.

Tu planifies avec le service windows update de XP/2000
Tu peux mettre l'heure que tu veux, mais le PC doit etre allumé.

ok, ca doit etre aussi possible de planifier le reboot à la fin?

tu peux, tout simplement, forcé le reboot des pc à une heure précise.
 

Moi je fais faire les installs à 13 heures, y a pas grand monde à cette heure qui bosse, et en cas de pb je suis là pour dépanner. Pour le serveur SUS, j'ai fait au plus simple : j'ai pris un pc standard ( PIV 2,4 GHZ; 38 GO DD, 512 MO de RAM) où j'ai mis windows 2000 server dessus.
 
Nous n'avons pas mis les profils errant, car on a lotus notes en messagerie et on met des répliques des bases dans le profils, alors chargés des profils de plusieurs centaines de mégas à tous bout de champs, c'est pas génial. en plus avec l'ad on peut leur mettre facilement un dossier réseau par déafut, ce serait dommage de pas en profiter
 
Enfin on a laissé les utilisateurs admin de leurs postes. Au début on les avait mis utilisateurs standard, mais sa posait plus de problèmes que ça en résolvait. En plus si les utilisateurs font des Conner..s  sur leur postes, je remasterise le tout avec ghost...