Reprise du message précédent :

Tu peux le bloquer, pas en utilisant la gpo "bloquer le store" mais en bloquant son exe, de la même façon qu'on bloque n'importe quel exe avec une gpo, je l'ai fait pour l'appli XBOX

Petite question pour vous svp
 
Dans une filliale on à une user qui utilise un soft bien spécifique de gestion de télphonie (avi quelque chose)
Le presta soutient mordicus qu'elle doit être admin de la machine pour le bon fonctionnement du soft
 
Seulement mon responsable veut pas qu'elle ait autant de pouvoir qu'un admin. Le presta ne veut/peut pas fournir la liste des droits ciblés.
 
La question est du coup est ce qu'il y a moyen avec un script de démarrage de restreindre les droit admin du compte en question ?
 
Merci

Tu fais une tache planifiée avec les droits admin pour lancer le programme et tu mets un raccourci sur le bureau.

Un script AutoIT compilé en .exe qui lance le programme en question

Alors merci pour les idées mais l'user doit être dans le groupe admin local pour cette app (selon le presta) et ne souhaite pas que ce soit lancé en runas mais plutôt une fois admin mettre des restriction genres bloquer les installations d'applications

Bah tu tests et tu t'assures avec l'utilisateur que tout fonctionne, t'es pas obligé d'appliquer ses précos à la lettre.

faut pas applocker pour bloquer un exe par gpo?
edit : et donc une version de windows qui le supporte

 
C'est très répandu : mais ils ne vont pas spin des VMs tous les jours, ça remplace en fait leur poste en local

 
C'est applocker ça ? Ça marche sur du Windows 10 Pro

 
Ne pas croire les presta, le nombre de fois où ils m'ont dit qu'ils avaient besoin d'un compte admin du domaine pour installer un logiciel.
Tu leur demande pourquoi le compte administration local n'est pas suffisant pour leur application et qu'il répondent qu'ils répondent qu'il leur faut les droits maximum.
C'est une plaie tous ces prestataires niveau sécurité.

Tu as les Software Policies qui font ça depuis 2003. Sauf qu'il faut générer un hash de l'exe, à la moindre update, recommencer...une vraie galère à gérer.

Non ça c'est l'ancienne version. Regarde au même endroit, "Application Control Policies". Et passe ta GPMC en anglais  

Très souvent, c'est parce que l'application écrit dans son propre répertoire. Essaie de modifier les droits sur le dossier d'installation de l'application pour autoriser ton utilisatrice à y écrire, et voit ce que ça donne. Si ça se trouve ça suffira.

Woké
/Jefaisjamaisdepostedetravail

 
Merci, je vais faire cela... Es-tu sûr qu'il n'y a pas de side effect lors des Windows Update?  

 
Chez nous, les instances de test sont dans le cloud sur AWS.

 
ça vous revient pas trop cher ?

https://www.youtube.com/watch?v=Rp2rhM8YUZY
 

T'éteint tout à 17h le soir, au final ça doit même couter moins cher.

 
heu... je pense au final que cela revient en fait.. Moins cher.   Et surtout aucune prise de tête avec un quelconque hardware local, une sécurité accrue (VPN (lui aussi sur AWS) pour se connecter aux VM de devs), aucun risque de perte de donnée "physique", laptops pouvant être "volés" à tout moment sans conséquence, personne pouvant être virée et son boulot dispo for the next guy etc... etc...

ARf merde j'ai loupé  la discussion sur droit admin sur les postes ^^
 
100% des applis sans droits d'admin.  Car quand meme, il faut savoir ce qui se cache dans "droit admin local".
 
C'est 99% : le droit d'ecrire dans c:\windows , c:\program files , %defaultuser% , HKLM du .ini et des paramétres. Et c'est pas bien.
 
Il suffit de demander à l'editeur où il veut écrire , cacher ses fichiers.  
Apres il suffit de donner les droits ecritures sur le fichier ou la clef. Et c'est fini.  
 
Donc il suffit de demander aux développeurs de savoir ce qu'ils font, et donc de ne plus donner les droits d'admin au dev. CQFD.
 

 
Chez nous les dev sont les seuls qui ont les droits admin quand ils font le choix de bosser sous Windows (on est presque tous sous Linux, moi je suis tantôt sous Linux, tantôt sous Windows parce que j'en ai marre d'être largué sur Windows et que Windows 10 avec son "bash" dispo change quand même bien la donne.)
Le niveau des dev est quand même pas le même que celui de Christine à l'accueil hein...  

Boarf ça doit pas être si rare que ça le dev teubé qui sait pas se servir d'un OS
 
XaT

Aucune idée on a peu de postes windows 10 pour l'instant

 
Chez nous, on est que 2 à se servir de windows 10 au niveau dev. Les autres sont sous Linux (moi aussi la plupart du temps en fait). Donc la situation est largement sous controle.
 
Tous les autres sont sous windows 7, certains windows 8.1 et on est en train de basculer tout le monde sur windows 10 + office 365. Evidemment, aucun n'a les droits admin.

 
J'imagine que vous avez une connexion Internet digne de ce nom (et que ça coupe pas régulièrement), parce que ça doit être compliqué autrement

Boarf, des fois le dev est limite pire que la Christine de l'accueil, dans le sens où il peut très bien faire de la bonne merde en production.
J'imagine meme pas le poste de travail linux d'un dev à qui on file les droits root ... A base d'installation de RPM/DEB depuis des dépots douteux et autres tunings de fichiers de configuration sans aucun outil de gestion de configuration.
Et je parle pas meme pas d'utilisation d'images docker qui viennent d'on-ne-sait-où.
Chez nous les dev sont admin de leur postes locaux, ben quand on voit ce que ca donne on se dit que c'est vraiment bien qu'ils aient aucun droit le reste (du serveur de dev à la prod).  
Voilà, c'était le moment aigriture.  

 
Oui.    
Effectivement le cloud c'est super, mais Internet est le SPOF.  
 
 
 

 
Je suis dans une petite boite. On est 6 developers en tout (studio de 10 personnes que je dirige) maintenant et une trentaine de personnes en tout dans la boite. Donc c'est largement controlable. C'est certain que dans des boites de 100+ personnes, j'imagine que les équations sont certainement différentes.

On vise 100 à 150 personnes là je suis RSI, vous comprenez mon inquiétude (on part de 20p avec 6dev)  

 
   
 
oui
 
 

Tu m'étonnes.
 
La grosse difficulté de l'IT au final c'est que les possibilités pour faire un même truc sont tellement énormes que t'as vite fait d'être dépassé par les choix.
 
C'est chaud.

Évidemment j'ai presque 6mois de retard dans les projets, sinon c'est pas drôle

Quel responsable de toute façon tient ses projets dans les temps ?

au fait, puisqu'on en est là, obligation d'un AV sous Windows 10 Pro autre que Windows Defender?  (sachant qu'aucun poste n'est admin sauf 1 et demi sur 30 personnes et que Windows Defender a l'air d'avoir très fortement progressé).
Je n'ai aucune inquiétude concernant les virus classiques qui te foutent en l'air un desktop, car il n'y a jamais rien d'important en local sur les postes qui sont avant tout du office 365, du drobbox etc...  
 
Non, ce qui me fait peur, ce sont les ransomware. Mais là, est-ce que les meilleurs AV font vraiment un meilleur boulot que Windows Defender sur les dernières révisions de Win10?
 
Autre chose, pour le storage dans le cloud, on utilise un mélange de dropbox et de S3... Mais je ne suis pas content concernant le versioning des files.
En effet, sur S3, le versioning existe mais à ma connaissance, il n'y a pas de procédé "batch" permettant par exemple de dire : "je veux que toutes les versions de tous les fichiers entre la date T1 et la date T2 soient effacés -- Ce qui permettrait de revenir à une situation antérieure aux dégâts  causés par un ransomware.
Sur S3, on peut traiter les fichiers, mais seulement un par un. On peut aussi programmer des scripts et utiliser l'API S3 pour cela... Mais pas de moyen "officiel" pratique.
 
Des idées ?

C'est le tech support qui va en chier, sinon le reste est scalable Au contraire c'est plutôt cool de passer de peu de postes à un parc plus important tant que c'est pas 3k postes
 
XaT

Parce que tu crois qu'ils vont avoir un tech au support ?
 
Ça va être pour l'admin de gérer ça.

Les ransonwares ça se détecte en amont avec zone bac à sables dans lequel ils sont exécutés et analysés. Je sais plus le nom de l'outil mais c'est pas mal du tout.

Pour l'AV j'étais aussi du côté de defender jusqu'à ce que qu'on me demande des rapports des AV pour prouver que c'est en place et qu'ils n'y a pas eu d'infection.
Le problème de defender c'est que tu n'as aucune remontée d'alerte si y a réellement un problème (à part Martine qui appelle le support )

Edit: l'écriture 2.0...

 
Ok, merci pour cette réponse.  
 
En même temps, pour en revenir au versioning, je ne comprends pas que chez les differents providers de cloud storage, je ne trouve rien qui puisse éliminer toutes les versions de tous les fichiers entre une date T1 et une date T2. Car c'est une manière imparable de réparer les dégâts causés par un ransomware.    Non ?