Reprise du message précédent :

 
Ok, merci pour cette réponse.  
 
En même temps, pour en revenir au versioning, je ne comprends pas que chez les differents providers de cloud storage, je ne trouve rien qui puisse éliminer toutes les versions de tous les fichiers entre une date T1 et une date T2. Car c'est une manière imparable de réparer les dégâts causés par un ransomware.    Non ?

Certains ransomwares testent leur environnement.
Ils regardent s'il sont dans une sandbox, s'ils voient que l'environnement n'est pas sûr, ils ne se déclenchent pas.
 

Cloud  

Sinon il y as un truc pas mal, les LTO  

Qu’est ce que tu fais chez toi là alors ?

Je suis pas chez moi là, je suis sur le trajet de retour de mon déplacement. Je suis dans le hall d'attente de la gare de Lyon Part Dieu à attendre mon prochain train..
Je reviens d'un audit avec un auditeur qui voulait auditer la salle blanche.
Normalement je suis rentré chez moi vers minuit..

Tu vas au bureau après ?

Tu me rappelleras de jamais devenir DSI

Non

Je rentre chez moi

Pourquoi. Tu as 6 mois de retard

Si je fais un burn out, y aura plus que 6mois de retard  

pour s3, je comprends pas bien ton besoin en fait.

s3 -> lifecycle management / tu gères les versions antérieures, leur placement dans glacier/supression/...

Après, virer tous les fichiers entre T1 et T2, ça serait possible en scripting.
Pas directement puisque la gestion des blob ne se fait pas fichier par fichier.

Mais non, c'est pas une utilisation "normale".
Versioning = tu veux tout garder.

 
Procmon et tu récupères tout ce dont l'appli a besoin en terme d'accès.

 
+1 phpipam. Le dernière version a ajouté racltables et un gestionnaire PsTn.
Api rest pour la customisation.  
 
On ne pourrait plus s’en passer ici (3500 réseaux)

 
Le besoin est pourtant simple à comprendre. Imagine que tu as Christine qui ouvre un e-mail et lance un ransomware qui crypte le dossier partagé doc_shared. Tous les fichiers encryptés vont se retrouver sur S3 et correspondront à une nouvelle version qui aura été produite entre date_time t1 et date_time t2. Si tu peux effacer toutes les versions de tous les fichiers du dossier partagé entre t1 et t2, tu récupères le dossier partagé avant son infection.
Le lifecycle management ne résoud pas le problème. Il se contente de sauver par exemple la dernière version, mais tu n'as pas de procédure de récupération pour avoir ton dossier partagé dans le même état que celui avant une infection par un ransomware.

Il n'y a pas d'outils tiers qui gerent ca ?

oui alors j'avais bien compris.
Mais AWS n'a pas cette philosophie de "toute faire" pour toi.
Il met plein de fonctionnalités à dispo et les cli/api pour les utiliser.

Libre à toi ensuite d'en faire ce que tu veux.

la cli te permet de lister toutes les versions des objets créés, avec une information sur la date (LastModified)
Elle te permet aussi de supprimer les versions que tu ne désires pas, ou restaurer les versions précédentes.

http://docs.aws.amazon.com/AmazonS [...] oning.html

A toi de scripter ton besoin, c'est pas énorme.

@DesuetCR_B: oui et non, tu va trouver les s3tools et s3browser. mais cela permet de faire les commandes, pas un nettoyage de masse.

Edit: Je vais regarder à l'occasion pour écrire un petit script python de nettoyage des s3.
Parce que, typiquement, ne garder que les X dernières versions, c'est pas possible ... c'est lié à une durée de vie de la version.
(oui, tout n'est pas parfait)

 
Oui, j'avais déjà regardé.    Je suis en train de me tâter à consacrer du temps là dessus si on reste sur S3. En ce moment, j'essaye de faire le tour des meilleures solutions de stockage dans le cloud.
Mes principaux critères de recherche sont :
1) intégration Windows 10, OSX et Linux
2) lock sur les files opened par un user.
3) Versioning (avec en bonus la possibilité d'effacer les versions des files en batch comme expliqué précédemment)
 
Le prix ne vient qu'en 4° position.  
 
Vous conseillez quoi ?

 
Par contre, tu m'as donné une idée avec le "lifecycle" S3 -> Glacier.
 
Car on peut certainement immédiatement mettre la version précédente dans Glacier dès qu'une nouvelle version d'un fichier est créée. Du coup, dans le cas d'un cryptage massive de tout un dossier, sur glacier on doit avoir la version n-1 de tous les fichiers.  Évidemment, si personne n'ouvre et n'enregistre à nouveau le fichier.... Mais vu que le fichier est crypté et illisible, très peu de chance que cela arrive. Je vais continuer les recherches en incluant cette piste.    

 
Tu te payes le délai de restauration Glacier

 
c'est entre 3 et 5 heures maintenant il parait. Et une infection par un ransomware, j'espère ce que cela n'arrivera pas.

C'est clairement la meilleur stratégie pour s'en prémunir

Qui tourne sous openxchange ? Personne je parie
@Plam vous tournez sous quoi pour imap/xdav/etc ? Zimbra j'suis sur  
 
XaT

Yup Zimbra, mais on utilise assez peu l'email au final (0 en interne car MatterMost pour le live, GL pour le suivi d'issues et pour l'extern = Crisp pour les discussions avec les clients, et pour le mail de mass on passe chez Mailchimp).

Des utilisateurs d’ADMT sur des postes Windows 8.1/10 ici ?
 
Sur 4 machines 8.1, 3 ne peuvent pas modifier les applications par défaut (même en bidouillant le registre, en récupérant l’ancienne clé...)
 
Je ne comprends pas pourquoi ça marche sur la 4eme cela dit..
 
Vous auriez une équivalence même payante pour ce soft non maintenu par Microsoft ?

Vous utilisez quoi comme shell ldap ?  
 
XaT

MMC
 
De rien

AWS Paris anyone ?

Suis plutôt sur azure France Central  

Ca dépend de ce que tu veux en terme de reporting et de prix. Perso je ne vois pas l'intérêt de se passer d'au client antivirus orienté entreprise et managé, ne serait-ce que parce que l'administration centralisée et le reporting sont indispensables.
Sont-ils plus efficaces que Windows Defender contre les ransomwares ? Ca dépend de l'antivirus et surtout de la façon dont il a été implémenté. J'ai un client qui a installé uniquement la partie antivirus statique, pas l'heuristique, pas le parefeu, pas l'IPS "parce que ça risquait de poser des problèmes. Et puis on faisait comme ça avant et on a jamais eu de problèmes". Il s'est choppé un ransomware, il a perdu toute son infra, du coup il est vachement plus à l'écoute maintenant
Si tu veux lutter efficacement contre les ransomwares, le client antivirus n'est qu'un composant parmi beaucoup d'autres. Il ne remplacera en aucun cas un vrai système de sauvegarde.

Powershell, pourquoi cette question bizarre

"TS2LOG" vous connaissez ?  
 
Un client est en train de se faire embobiner par un prestataire qui lui a proposé de lui monter un "serveur TSE" pour son petit ERP, et au final le client se retrouve avec du "TS2LOG" et des problèmes d'impressions en pagaille.
 
http://soft4europe-france.com/ts2log-terminal-serveur
 
Ça fonctionne qd c'est bien configuré ce truc ou c'est un nid à emmerdes ?  

 
Non mais ça c'est parfaitement clair pour moi. D'ailleurs, je fais justement des recherches en ce moment sur le meilleur cloud pour files avec versioning pour lutter contre ces saloperie de ransomware.

D'ailleurs une question sur ces ransomware... Est-ce qu'ils peuvent passer deux fois au même endroit et encrypter un fichier qui a déjà été encrypté par le même ransomware ?  
Admettons que 5 ordinateurs soient connectés à un dossier partagé et que ces 5 machines soient toutes infectées par le même ransomware : est-il possible que ces machines lancent des process pour encrypter le même dossier partagé et que les fichiers dans ce dossier partagé soient encryptés plusieurs fois ?
Si oui, le versioning se serait donc pas la solution.
Il faudrait à ce moment un daily backup avec versioning en lecture seule qui se déconnecte ensuite.

 
Completement, oui.

Les ransomwares fonctionnent avec des listes d'extensions de fichiers à chiffrer, leur but est de chiffrer le plus rapidement possible les fichiers importants.
En chiffrant les fichiers, l’extension sera renommée, donc il y a aura peu de chances qu'il y ait un 2ème passage.
 
Il y aura toujours les clichés Windows sur le serveur qui seront disponibles pour restaurer une quantité limitée de données (si l'infection vient d'un poste).
Si la machine est entièrement chiffrée, il sera plus rapide de faire une restauration.
 
Une seconde sauvegarde des serveurs sensibles peut aussi être effectuée à midi pour limiter les dégâts.
Sinon "chiffrer" est quand même mieux que l'anglicisme "encrypter".

 
non, pas forcément, ça dépend du ramsomware.

Ça ressemble surtout à une violation (ou même un viol avec gravier/verre pilé) du CLUF de Windows. Ils ont monté ça sur quoi ? Du Windows Server ? Du poste de travail ?

Hmm... Dites! Quelqu'un utilise Symantec Endpoint Protection et son Manager?
 
J'demande comme ce matin, il est en train de m'emboliser un DC. L'process httpd.exe du serveur Apache monopolise le Proc'.
 
Et de ce que j'en ai lu sur le site Support de Symantec, cela fait souvent suite à une montée de version. Mais... C'pas le cas chez moi! Bien sûr

 
J'aime bien la gueule du site, il semble tellement sorti d'un notepad d'étudiant qui a pris les premières images randoms sur google images, a acheté un vieux soft foireux sorti de nul part et revend ça de façon pas très clair. Ca sent l'entube ce truc
 
XaT

Fallait foutre ton serveur web sur un autre dédié sur le DC
Sinon ouais j'ai cette merde  
J'ai pas ton soucis J'ai que la console symantec sur ce win server
 
XaT

 
Ah oui oui derrière il y a un Windows Server 2012 tout ce qu'il y a de plus normal, j'imagine que le but est d'économiser sur les licences Microsoft RDS   .