Je suis (un jeune) administrateur réseaux dans une entreprise (avec un parc d'environs 170 serveurs et stations) et je me trouve face à un gros problème.
 
Nous allons changer notre parc informatique au niveau client. La direction a optée pour des PC portables pour des raisons de commodité.
Les utilisateurs pourront emmener leur PC à la maison (pour travailler, se connecter aux réseaux de la boite pour les astreintes, surfer...) et sur les sites clients.
 
Mon problème se trouve au niveau de la sécurité :
J'ai peur qu'à la maison ils fassent le plein de virus, ver et autres cochoneries. Puis qu'après ils se connectent sur notre réseau d'entreprise tout propre (le trafic povenant de l'internet passe par une passerelle antivirale) et qu'ils contaminent tout.  
 
Actuellement chaque poste dispose de la partie cliente d'un antivirus (trend chez nous) ou les mises à jour sont distribués automatiquement par le serveur.
 
Actuellement certains chez de projet on un PC portable et meme avec un antivirus à jour, ils rammennent des virus et trojan...  
 
Je pensais également installer un firewall sur chaque PC portable, mais cela risque d'etre la foire pour l'administration à distance et poser des problèmes d'accès (par exemple les hotliners accèdent à des réseaux client... difficile de filtrer des plages d'adresses...)
 
 
J'en ai parlé à mon boss et pour lui la solution consiste à rédiger une charte. J'y croies pas trop. Meme sans aller dans la partie underground de l'Internet on peut chopper des virus...
 
Autre point noir, l'utilisateur est administrateur (ou presque) de son PC portable. Car les techniciens qui se déplace sur des sites clients on besoin d'installer des logiciels, des scripts...
 
 
Comment procéder à votre avis ?  

tu ne peux pas avoir le beurre et l'argent du beurre
 
c'est a dire que les utilisateurs aient les pleins pouvoirs et que en meme temps ils ne peuvent rien faire.
 
un firewall sur les portables ?  il serra vite desactivé par l'utilisateur, et donc complétement inutile.
 
une premiere chose serait de séparer le réseaux de portables du reste des machines. (comme ça on évite les virus de type blaster, sasser et autre)
 
 
Pour la propagation de virus via .doc... malheureusement si il ne sont pas détectés par l'antivirus... on n'y peut rien.
 
 
 
A propos des virus :
Ils se propagent :  
- soit via email (formation et sensibilisation des employés ET antivirus sur le serveur mail)
- soit via des sites douteux (appz, crack,) le P2P, les sites porno etccc  ---> sensibilisation des employés et chartes.
 
 
c'est simple : les portables sont livrés (à l'utilisateur) avec certains logiciels, une feuille rappellant les logiciels installés est écrite, l'utilisateur la signe. Si un logiciel est installé sans que l'équipe informatique soit au courant / est donné son accort ---> Sanction.
 
 
Si les employés s'en servent strictement de façon professionnel il est quasi impossible qu'ils attrappent un virus.
 
 
Sinon :
- est ce que tous les employés ont besoins d'etre admin de leur postes ?
- pour les techniciens en déplacement : Pourquoi ne pas leur donner le mot de passe ADMIN que quand ils en ont besoin (via telephone) ? le mdp sera evidement changé au retour de l'employé.
 
M'enfin je pense que le technicien peut être admin de sa machine et qu'il ne mettra pas de connerie dessus.
 
 
antivirus Trend ?  ça serait peut etre le temps de faire un comparatif des autres solution anti virales.

Je suis d'accord avec toi.
 
- Malgré la mise en oeuvre d'une charte, je doute que doute que les sanctions soient réellement mises en oeuvre...  
 
- Il est facile de chopper un ver sur Internet, sans forcément que l'on aille sur les sites de luc ou autre P2P.
 
- Bonne idée. Je pense que je vais mettre en oeuvre des VLANs (par port ou Mac addresses) : 1 par service + 1 pour les serveurs. Je ferais du routage inter-VLAN avec du filtrage de paquet, pour passer d'un VLAN à l'autre.
J'ai pas encore trop regarder, mais il me semble que nos switches sont de niveau 3 donc sa tombe bien.  
 
- Quelle solution anti-virale réseau me conseil tu ? Pourtant Trend fonctionne plutot bien et il est assez populaire (il est dans pas mal de ministere).
 
- Le changement de MDP c'est la foire... on est déjà débordé    
 
 
 
 

Slt
 
Je ne sais pas pourquoi com21 a dit ca mais Trend est pourtant un bon antivirus...
Cependant je lui prefere Kaspersky 5.0 qui est excelent!
 

Ils sont utilisateur du poste pas admin et la il ne peuvent rien installer.
tu verouille donc le compte admin.

Salut,  
 
J'ai vu plusieurs antivirus pro et pour l'instant c Trend que je préfère, com21 tu pourrais développer plz ?

Gestion antivirale avec Norton Antivirus Corporate Edition, avec le soft client sur chaque poste et la gestion des policies, des alertes, et des updates par SSC
+ Sygate Secure Entreprise ;un client firewall light dont tu n'appliques les rules par serveur central que pour ton reseau interne, sans gener ce qui ne concerne pas ton reseau
 
Avec ca, t'es tranquille
Au cas ou un gus arrive avec un pc verole sur ton reseau, le nav le voie, et si tu as bien configure ton serveur SSC, tu sais qui c'est, tu peux l'alerter, le verrouiller, lui forcer un scan, un update,etc...
Idem pour le firewall, avec les rules SSE, tu peux lui bloquer tel ou tel port s'il a chope un trojan sur le Net et vient polluer ton subnet

Ce que tu peut faire c'est mettre les portables dans un DMZ, donc séparé du réseau avec un firewall.
Sur ce firewall tu met un win 2003 avec le service de quarantaine. Ce service permet de lancer un script sur l machine et de verifier si les services pack et l'antivirus sont a jour.

Jovial: ce que tu décris existe aussi chez Trend. J'attend toujours le truc déterminant qui va me faire proposer autre chose que du Trend chez mes clients.
 
P.S : le fait que Norton/Symantec ait développé un outil pour désinstaller leurs produits "proprement" lorsque la desinstall "classique" ne fonctionne pas ne me rassure pas sur la qualité de leurs softs.
 
Edit :
Un des trucs que j'attend avec impatience de voir a l'oeuvre c ca :
"Trend Micro OfficeScan Corporate Edition v6.5 disposera également de l’agent Cisco Trust Agent (CTA), associé au programme Cisco® Network Admission Control (NAC), pour contrôler le respect des règles de sécurité et s’assurer que seuls les ordinateurs disposant des dernières mises à jour antivirus peuvent se connecter au réseau. Dans le cadre d’une politique complète de sécurité réseau, Trend Micro OfficeScan Corporate Edition et la protection apportée par le programme NAC de Cisco peuvent être associés à d’autres solutions et services Trend Micro, pour étendre la prévention et la gestion des attaques."
 
dsl pour le blabla commercial/marketing.