Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1823 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Logiciels d'entreprise

  Bloquer l'installation Google Chrome

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Bloquer l'installation Google Chrome

n°144502
razer69
Posté le 28-01-2017 à 14:46:28  profilanswer
 

Bonjour à tous,
 
Environnement Windows  2008 r2  Xenapps 6.5(bureau citrix publié)
 
Est-ce quelqu'un  c'est déjà retrouvé devant le cas  d installation de google chrome qui s'installe sans les droits admin (installation dans appsdata).
 
Si oui avez-vous trouver le moins de bloquer ce type installation ?
 
merci d'avance pour vos conseils et vos retours expérience
 
razer69

mood
Publicité
Posté le 28-01-2017 à 14:46:28  profilanswer
 

n°144510
ShonGail
En phase de calmitude ...
Posté le 28-01-2017 à 20:38:52  profilanswer
 

via les GPO on doit pouvoir bloquer suivant les noms des packages d'installation et/ou la signature numérique.

n°144511
75karl
Posté le 28-01-2017 à 21:15:01  profilanswer
 
n°144515
nebulios
Posté le 29-01-2017 à 10:57:52  profilanswer
 

Pas mal de navigateurs libres et de malwares font ca. Tu peux contrer ca avec Applocker (que tu géres via gpo)


Message édité par nebulios le 29-01-2017 à 10:58:40
n°144516
Lone Morge​n
Forever HB
Posté le 29-01-2017 à 10:58:15  profilanswer
 

Via les restrictions d’accès internet déjà, sur un serveur bureau a distance navigation ultra limitée et généralement pas de téléchargement d'EXE pour les simples users.
Pour le blocage de l'appli en lui même tu as peut être une possibilité via l'antivirus.


---------------
In ITIL we trust.
n°144523
razer69
Posté le 29-01-2017 à 17:08:30  profilanswer
 

merci pour vos retours.
 
Lone Morgen, nous avons un pare feu (stormshield) ou je bloque les .exe etc mais maintenant les site sont en https et donc passe à travers la sécurtié du stormshield.
 
Par contre si dans internet explorer il y une regle pour interdire le téléchargement de exe je suis preneur

n°144532
exmachina
Posté le 29-01-2017 à 21:45:14  profilanswer
 

y'a ne gpo pour ca :
 
Computer configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone\Allow file downloads
 
 
limite a ie.

n°144533
Lone Morge​n
Forever HB
Posté le 29-01-2017 à 21:59:19  profilanswer
 

 Le pare feu doit être capable de gérer ce type de filtrage sinon va falloir penser a son remplacement, batailler avec de la conf système alors que les flux sont pas maitrisables c'est du palliatif, beaucoup de temps a prendre pour au final des sécurités contournables et lourdes à gérer. La grande majorité des menaces passent par des flux chiffrés, d'après ce que tu dis, actuellement votre niveau de protection est insuffisant, je connais pas les fonctions de votre stormshield mais ça m’étonne, vieux modèle ou surcharge avec les modules de secu activés ?

Message cité 1 fois
Message édité par Lone Morgen le 29-01-2017 à 22:04:14

---------------
In ITIL we trust.
n°144536
skoizer
tripoux et tête de veau
Posté le 30-01-2017 à 08:47:09  profilanswer
 

pour Applocker si je ne me trompe pas, il faut une version windows entreprise
https://technet.microsoft.com/fr-fr [...] s.11).aspx


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°144540
Je@nb
Modérateur
In ze cloud
Posté le 30-01-2017 à 11:01:32  profilanswer
 

ça tombe bien ici c'est un serveur RDS donc dispo sur les éditions serveurs

mood
Publicité
Posté le 30-01-2017 à 11:01:32  profilanswer
 

n°144601
razer69
Posté le 02-02-2017 à 21:12:36  profilanswer
 

Lone Morgen a écrit :

 Le pare feu doit être capable de gérer ce type de filtrage sinon va falloir penser a son remplacement, batailler avec de la conf système alors que les flux sont pas maitrisables c'est du palliatif, beaucoup de temps a prendre pour au final des sécurités contournables et lourdes à gérer. La grande majorité des menaces passent par des flux chiffrés, d'après ce que tu dis, actuellement votre niveau de protection est insuffisant, je connais pas les fonctions de votre stormshield mais ça m’étonne, vieux modèle ou surcharge avec les modules de secu activés ?


 
bonjour,
 
stormshield sn710 (passage en version 3.0.3 dans la semaine)  .
 
Après justement c'est https, car il faut qu il déchiffre pour qu'il voir que c'est un exe, non ? sans le déchiffrage il ne vois rien.

n°144613
Lone Morge​n
Forever HB
Posté le 04-02-2017 à 01:23:32  profilanswer
 

C'est ça il faut activer le déchiffrement le pare feu va jouer le rôle de proxy , vérifier comment l'activer et les effets de bord possibles.


Message édité par Lone Morgen le 04-02-2017 à 01:23:50

---------------
In ITIL we trust.
n°144616
razer69
Posté le 04-02-2017 à 12:39:58  profilanswer
 

justement si j'active le déchiffrement https,
 
=> il me faut un certificat valide ou bien utiliser l'autocré par le stormshield, c'est ca ? Un vrai certificat cout cher?  
 
Nous avons chez nous, des certificats par clé USB (virement bancaire) et gouv.fr (SIV) .
Comment va se passer , le fonctionnement avec ces dispositif? Faut-il bypasser quelque chose?

n°144639
h3bus
Troll Inside
Posté le 06-02-2017 à 13:49:41  profilanswer
 

Je ne connais pas le proxy mais théoriquement il faut que tu crées un certificat CA qui soit installé sur tous les clients.
Ensuite le proxy va générer un faux certificat signé par ce CA et communiquer avec cette liaison SSL avec le client. En parallèle le proxy fait du https "classique" avec le site visé.

 

C'est une sorte d'attaque Man in the middle:

****************************
*         Client           *                 *************                *****************
* Avec CA de la compagnie  *  <--- SSL1 ---> *   Proxy   * <--- SSL2 ---> *  Serveur.com  *
****************************                 *************                *****************

 

Lors de l'établissement de la connexion, le proxy signe un certificat pour "server.com" avec son CA, certificat qui est accepté par le client car il a le CA "pirate" dans ses listes de confiance.
Le proxy établit la connexion SSL2 avec le certificat officiel du site.

 

Le proxy n'a plus qu'à chiffrer/déchiffrer les flux de données.


Message édité par h3bus le 06-02-2017 à 13:51:50

---------------
sheep++
n°144640
ShonGail
En phase de calmitude ...
Posté le 06-02-2017 à 14:47:37  profilanswer
 

Ne faut-il pas clairement informer les utilisateurs de ce fonctionnement ?
Car cela peut porter atteinte à la confidentialité des échanges de données.

n°144642
h3bus
Troll Inside
Posté le 06-02-2017 à 14:55:47  profilanswer
 

Je pense que ça doit être écrit dans la charte informatique, mais ce n'est pas vraiment différent d'un proxy HTTP DPI classique, a part peut-être le fait que l'utilisateur ne peut plus vérifier l'authenticité du site distant, c'est le proxy qui le fait.

 

Cela dit le jour ou ma boite fait ça, je passerai par mon téléphone pour toute navigation perso.

 

(Au passage l'utilisateur peut toujours vérifier quel CA a signé le certificat, et donc déterminer si son trafic est inspecté ou pas. Il peut aussi supprimer le certificat "pirate" pour que le navigateur refuse la connexion si celle-ci est inspectée)


Message édité par h3bus le 06-02-2017 à 14:58:04

---------------
sheep++
n°144667
razer69
Posté le 07-02-2017 à 21:17:04  profilanswer
 

Merci pour vos réponses.
Donc il doit avoir un paramétrage qui dans le cas d'un certificat (cle USB) faire bypasser le SSL, non ?

n°144751
Djeng0
Hash & Frères
Posté le 12-02-2017 à 23:13:43  profilanswer
 

Je plussoie la solution de l'Applocker / GPO & co pour bloquer les installations.

 

Activer le déchiffrement HTTPS c'est sale comme solution.
La vérification du certificat SSL n'est plus possible par le client, seul le proxy DPI est en capacité d'effectuer les vérifications.

 

Si tu as des applications qui font du HTTP Public Key Pinning, ça devrait poser problème aussi.

 

Bref cette 2ème solution nécessite une étude avant mise en œuvre (outre les aspects charte informatique / information de l'utilisateur)


Message édité par Djeng0 le 12-02-2017 à 23:16:59

---------------
Commande groupée Fidget Cube, le SFBA ultime | Je déconseille la compagnie aérienne Pegasus, son service client est mauvais, peu réactif, ment au cl

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Logiciels d'entreprise

  Bloquer l'installation Google Chrome

 

Sujets relatifs
permettre l'installation d'un seul logicielInstallation de pilotes manuellement
Bloquer domaine avec netasq/stormshieldStormShield Bloquer les exe
[Windows 10] Bloquer l'accès à tous les sites internet SAUF deuxInstallation et config Squid sous Fedora
Installation internet explorer 11 impossible[HELP] SCCM - Client installation Foret AD Untrusted
Plus de sujets relatifs à : Bloquer l'installation Google Chrome



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR