Reprise du message précédent :

Linux est un OS qui doit aussi bénéficier de stratégies de sécurités, de mise à jour critiques ou non, ...
 
Il faudrait en dire plus... si tu veux parler de la chose.

 
une debian avec apt-get upgrade tous les jours + firewall avec règles précises + proxy ça va ?

 
Ouais, ca fait moins trollesque

Le gros problème d'ISA server c'est que par défaut il n'est donné avec rien... Si pardon le kit de developpement de script si on veut l'utiliser de façon bcp plus précises mais sinon 1200 Euros (voui je travail pour l'état dc - cher   ) je trouve ça enormement cher pour quelque chose qu'iptable ou ipfilter fait très bien.  
De plus après avoir suivi la formation pour la certif MS sur ISA Server, j'ai quand même demandé à l'instructeur la réponse à mes problèmes que j'avais pour appliquer ISA dans mon réseau (mélange de NAT, proxy authentifié et non authentifié etc...) . Bref il s'avérait qu'au final ISA server tel qu'il est fourni par défaut n'est pas assez précis et je devais aller acheter (en plus des 1200 Euros) des add-ons écrit par d'autres sociétés... Bref, c'est peut-être un bon firewall, mais c'est surtout une belle pompe à fric !!!!  

oui c mieux
tu remarqueras que c'est à peu près la même chose à faire sur des machines cro$oft
 
débian c'est bien... mais bon, des failles, y'en a aussi (ça me rappelle une histoire récente... avec quelques serveur de dev débian qui sont tombés).

La certification ICSA c'est la moindre des choses pour un firewall d'entreprise à 1200?. Après ce qui est intéressant c'est de voir si le firewall a fait l'objet d'une certification par les Critères Commun.

- IPCOP
- Winproxy (firewall + Antivirus)  
- Mdaemon (serveur mail avec antivirus Kaspersky + filtre + spamkiller)
- Norton corporate
- SUS
- utilisateur standard
- GPO pour limiter l'utilisateur (panneau de config, etc...)
 
Mais ca n'empêche pas d'avoir encore des emmerdes.  
 
Et puis quand on limite l'utilisateur, on est sans arrêt emmerdé par ces derniers pour installer la dernière mise a jour de realplayer ou autres

 
tu as bcp d'utilisateurs qui utilisent realplayer à des fin professionnel ?
 

Y'a pas moyen de loguer un maximum d'actions des utilisateurs (en local comme sur un espace de stockage sur les serveurs) et de les sanctionner (financierement? ) quand ils sont responsables (volontairement ou par negligence) d'un probleme ?

ah bon ?
tant qu'à faire, troll pour troll
moi j'veux qu'on m'explique ce que je branle avec un linux quand je dois faire tourner une appli qui se greffe sur word
changer d'appli ? ok et les 30 plaques investies dedans je me torche avec ok

donc apparement pas mal de monde utilise un firewall matériel pour la sécurité  
 
et SUS pour déployer les patch
 
personne n'a le produit de sysinternals qui déploient aussi

personne apparement

perso je suis en train de mettre en place un SUS,
Sont bien les produits sysinternals?

apparement c'est pas mal j'avais eu l'occasion de le tester lors du déploiement du patch 823980 et 824146 pour msblaster
 
c'est la maison mère qui nous avait filé le programme spécialement prévu pour ce virus
 
à la différence de sus c'est payant
 
mais c'est super bien fait
 
il vérifie la version de l'os qui est installé et lance le patch avec les droits qui vont bien c'est transparent pour l'utilisateur
 
il lui suffira de rebooter ça machine pour que le patch soit appliqué

up

 
Oui... Nos principaux clients sont des cinemas...
Quand on pense aux cinemas, on imagine pas qu'il y a une administration derriere...
Et y'a souvent un responsable de la programmation des films ki aime bien matter les bandes annonce...
 
Mais realplayer était un exemple. Y'a aussi le nouveau palm pilot du patron (au passage, c'est de la merde a installer sur un compte ki n'a pas de droits admin), ou encore la nouvelle imprimante Multifonction bon marché avec des pilote de merde (car les client n'ont jamais assez d'argent pour l'informatique -> mauvaise économies!), et j'en passe...

 
Perso, j'utilise certain des psutils de sysinternal (fermeture de session a distance, ou autre), mais c'est tout...
 

Avant, je bossais dans une boîte d'info sur l'Europe.
Nous avions une équipe de journalistes à un certain étage du bâtiment... c'est fou le nombre de conférence, ou de vidéo-conférence qu'ils ont pu consulter grâce à RP. (bonjour la bande passante au passage )
 

c'est clair, mais on y arrive
 

Dernièrement j'ai eu le coup avec un scanner... pas d'autre moyen que de définir un compte bien précis en "power user" pour que les utilisateurs puissent scanner.

 
Bien dit à 100%

C'est pour ca ke chez nous, c'est souvent le dirlo qui a le moins de droit  
Mais faut pas lui dire...

 
Tu lui crée un compte qui affiche "admin" mais en fait c'est pas un vrai administrateur, mais il est tout content quand meme

J'ai eu un boss comme ça... qui voulait "certains droits" sur sa machine... Pas administrateur (il voulait pas avoir l'air gourmand), mais pas "simple" utilisateur (non mais dit donc!).
Il est donc passé au grade de power user...
 
Un beau jour il reçoit un mail de la maison mère (alerte cert) qui disait "attention, nouveau virus par mail, blabla".  
Ce cher boss forwarde consenscieusement ce mail à l'ensemble des employés de la boite... jusque là tout va bien, tout le monde est prévenu.
Quelques instants plus tard le boss reçoit un mail de la même personne (titre du genre "hi!" ), confiant il clique... et clique encore sur la pièce jointe.
 
Moi devant mon poste, je commence à avoir mon client exchange qui chauffre... un coup d'oeil rapide aux mail qui arrivent (suffit de voir le sujet) et zou, sans sommation de coupe les services exchange sur le serveur...
Durée entre clique sur PJ et arrêt des services exchange : 5 à 6 minutes. | Nombre de mail générés + de 6000
Pourquoi 6000 ? parce que tous nos chers employés, voyant un mail venir de la part du boss on cliqués sans hésiter sur la pièce jointe... résultat tout le monde infecté (sans trop de dégats car "user strict" ) et un poste à refaire entièrement : celui du boss.
Attendre la mise à jour de la partern pour ScanMail (trend) et le temps de réparer la DB d'exchange, la boîte à dû se passer de mail pour l'après-midi (rétabli le lendemain).
 
Le lendemain, le boss nous a demandé tout gentillement s'il pouvait repasser "simple user"... ce que nous avons fait bien volontier, même si cela ne lui aurait pas empêché de choper le virus et de l'envoyer à tous ses employés... (mais ça on s'est bien gardé de lui dire ).

 
 
Perso je prefere passer du temps à installer / mettre a jours des postes  que laisser les utilisateurs admin  et devoir nettoyer leurs conneries tous les 4 matins

 
moi s'ils font une connerie je restore direct le ghost, donc je peux te dire que meme en ayant les droits admin ils font gaffe

C'est net. C'est pour ca k'on garde cette methode...
 
Le soucis c'est qu'on est pas payé a l'heure mais a l'année (contrat), mais ca, c'est un autre problem..

 
Moi je suis payé à l'heure. Et comme j'ai peut d'heure  et bcp de boulot  il faut que ça tourne en un minimuin de temps pour un maximun de temps

donc vous les mettez en utilisateurs avec pouvoir sur le domaine ??
 
c'est bien ça
 
mais ils on quand meme le droit d'installé des logiciels et c'est bien là le problème
 

non moi je les met en admin. ils installent ttes les cochonneries qu'ils veulent et quand plus rien ne marche ils viennent me voir, je branche le portable, je restore le ghost correspondant et ils peuvent recommencer

 
Je crois que c'est la meilleure solution, car en local y'a toujours moyen d'outrepasser les sécurités

Justement pas!
Tout en utilisateur restreint.
S'il veulent installer quelque chose, ils m'appel.

 
Ils n'ont aucun dossier accessible en local?
Parce qu'avec le moindre dossier (genre sur un dossier temporaire, une clé usb, ou meme une disquette) ils peuvent installer un programme indépendant non

 
bah juste décompresser un .zip  (donc installer un programme sans installeur)   c'est relativement "rare"

Tain les mecs des qu'ils sont admin, c'est une catastrophe  
Comme Thalis, la menace ghost est bien utile

 
Vu qu'il y a plusieurs utilisateurs pour chaque poste, que les utilisateurs n'ont rien compris au principe du lecteur reseau (ils sauvegardent en local), que ce sont des profs, donc des cadres et que moi petit assistant d'éducation j'ai tjrs tord....  j'ai pas le choix  que de tout vérouillé  sinon je ghosterais tous les 4 matins....
 

 
Non Com21, je suis prof, et admin réseau dans mon lycée et je suis content d'avoir un emploi jeune pour me donner un coup de main. donc, il n'y a pas de "petit assistant".
quand ton contrat sera fini, ce sera la galère pour les profs du lycee où tu te trouves.

 
Faut qu'il se rende indispensable et qu'il fasse un systeme qui est génial mais qui ne peut fonctionner sans lui, comme ca ils l'embaucheront peut-etre aprés

mdr, vous êtes pas couché ?
sinon pour une petite structure que j'ai intégré il y a un mois - (5 postes  + 1 mac) : routeur firewall Bewan 6104 + avp mis a jour 2 fois par jour en ce moment, + mise en place d'images DD ( ).
Les Mails sont gérés par un prestataire externe.

Ouais, bin moa je me lève... Je dois finir l'install d'un serveur de façon a ce que se soie fonctionnel demain matin première heure
Pt1, des week end comme celui là, il en faudrait pas trop
 
Sinon, aspegic500mg, oui, mes utilisateur on des disk locaux. Mais en générale, l'utilisateur lambda sais pas y allez. Il sauvegarde sur le bureau ou dans "mes doc", et ces dernier sont rediriger via GPO sur le serveur.
De toute manière, mes clients savent (une partie en tout cas), que tout ce qui est sauvegarder en local est déjà considéré comme perdu.
 
Bon, bonne journée, a+
 
 
 

2 routeur-firewall hard ;+ filtrage des p.j. des mails...

 
Tu ne vois pas comment (certains) me traite....
 
 
Et bon, moi je demande qu'a rester....

question à king-pin ??
 
quelle marque les routeurs firewall??
 
comment cela se configure t il ??
 
a mon avis faut connaitre tout les port par coeur et savoir a quoi ils servent non ?
 
et pourquoi 2 ?