Reprise du message précédent :
Ça serait moins fatiguant si on avait pas un étalage de sciences et de vieux adages à longueur de temps. Et je vois ma boîte citée en exemple, je savais pas qu’un de mes collègues de l’ingénierie travaillait ici pour expliquer ses process.

Euh stp me mets pas dans ta condescendance. J'aimerais beaucoup que ce soit autrement. Mais chez nous l'accès a une VM hors serveurs c'est non, pour des raisons de :
"On a pas encore une procédure pour fournir une image windows en VM"
"On ne sait pas faire un chargeback sur la bonne entité"
"On n'a pas de licences Microsoft pour des VMs".

Et avoir mon environnement de travail au point sans besoin d'installer avec droits admins, c'est pas possible avec leurs outils de déploiement actuels.

Puis je suis pas arrivé avec le confinement, j'ai toujours été un faux dev ^^

 
A longueur de temps ? Tu vis sur quelle planète au juste ?

Tant de négativité sur cette page Balancez plutôt directement vos bonnes pratiques, raisonnements sensés, solutions, astuces plutôt que de dire ce qu'il ne faut pas faire sans filer de solution alternative Et pensez aussi aux PME qui fonctionnent sans AD, ya sûrement des lurkers qui pourraient apprendre 2-3 trucs utiles en lisant ce topic.  
Merci

Grave. On veut savoir !

Le site de l'ANSSI, t'as plein de documentation  
Et toutes les bonnes pratiques  

Peut être un peu HS mais j'ai maintenant un alternant sous moi
 
Problème c'est qu'avec le confinement, on se voit plus et j'ai peur de le perdre.  
La spontanéité des interactions au bureau n'étant plus d'actu, ca nique un peu tout et j'ai l'impression qu'il glande rien/qu'il galère à avancer  
 
Qu'est ce que vous me conseillez ?
J'ai mis en place des points régulier en visio pour palier à ce manque mais je suis pas convaincu

 
Non mais c'est pas grave, t'as pas été formé à la sécu et ta boîte n'applique pas les règles les plus contraignantes, malheureusement c'est très courant    
 

 
Mais là du coup c'est pas un problème de droit admin, mais de fourniture d'outils
 
Quant aux users, évidemment que y en a des teubé, et ce à tous les échelons. Mais pour nuancer ton propos, deux exemples :  
 
-on fait un training dans une boîte sur le phishing. 80% de taux de clic chez les chefs d'entrepôt. Le mail c'était un truc plein de fautes avec des pdf qui contiennent un lien vers un site, classique. On convoque les mecs pour les former au phishing, et y en a un qui nous dit : 'attendez, moi je veux bien, mais je passe ma journée à envoyer des mails à des petits transporteurs et à des artisans.Voilà ce que les gars m'envoient : "bjr veuilait trouv si joi nt la facture    <<<< facture202001.doc.pdf >>> from micheltransport93100@wanadoo.fr. Tu fais comment pour leur dire de pas cliquer ?
 
- Deuxième exemple. Un dev admin de son poste (parce que c'est historique, les VM c'est chiant etc..) installe des trucs pour python : un IDE je crois. Sauf que le lien est vérolé, et on se retrouve avec un cryptolocker sur 200 machines (pas à jour, mais c'est un autre problème).    
 

 
Bon,déjà le modèle de sécurité à la mode c'est celui du gruyère : c'est à dire qu'il faut aligner plusieurs couches de défense, en comptant sur le fait que plus il y a de couches, moins les failles sont exploitables à la chaîne, donc autant blinder ce qu'on peut.  
 
Ensuite : case study, t'es chez un ISP avec des dizaines de milliers de serveurs et de postes, des centaines de filliales. 40 ans de legacy, aavec encore du X25. Tu crois que c'est quoi le plus rapide et le moins cher ? Pousser une règle par GPO en montant une entité pour fournir des VM de dèv - et former les dev vite fait (RDP / SSH avec serveur de rebond c'est pas compliqué) - ou refaire tout ton réseau en gérant les impacts sur la boîte (et genre en débranchant sans plan de secours la machine qui fait la portabilité des numéros par exemple ) ?    
 

Ouais.

Par contre on nous les brise sur la sécurité mail, récemment ils ont  fait des faux mails de ticketing pour cibler individuellement tous les owners d'applications. Ultra bien fait, avec charte graphique,  tout. Mais nom de domaine distant enregistré aux Bermudes.
Et bam, cours de rattrapage pour ceux qui sont tombés. C'est pour ça que j'zttend qu'on me les retire les droits, ça va aller dans le bon sens, faudra simplement être vigilant sur les bonnes pratiques.

Alors déjà le vrai gruyère ça n'a pas de trous donc c'est une analogie foireuse.

Et je bosse justement pour un FAI.

Les employés qui n'ont pas besoin d'être sur notre réseau interne n'y sont tout simplement pas connectés. Ils peuvent même faire du BYOD si ça les chante, tout est sur du cloud publique.
Les machines connectées au domaine sont managées. Admin ou pas, t'arriveras pas à lancer un cryptolocker à cause du proxy et de l'OS et anti-malware à jour.
Et quand bien même j'y arriverais, l'impact serait quasi nul (on a bien accès à 2-3 partages de fichiers mais voilà, on est des équipes devs, y a absolument rien de critique là dessus).

J'espère qu'on a pas taffe chez le même , j'ai dit historique y avait un indice

Là aussi les machines sont managées, et y a dieu merci des zones réseau. Mais y a aussi du legacy et des gros bout d infogérance, sans compter ses règles balais sur certain fw

Bref, tour ça pour dire que être admjn de ta machine c'est pas recommandé, et que y a des solutions pour éviter de le faire qui ne sont pas incompatibles avec le reste des mesures de sécurité

 
Ben c'est le truc qui ne sert à rien par excellence, en tout cas sous la forme que tu décris. T'auras toujours un utilisateur (ou un admin lambda ) pour se faire prendre. Et tu pourras lui expliquer et revenir la semaine d'après, il se fera prendre encore. Et la semaine d'après encore aussi.
 
Il voit, il clicke, c'est tout.
 
Alors tu fais comme avec le dev ? Tu lui retires ses droits admin utilisateur en espérant que ça suffise ?

On leur retire les boîtes mail, de toutes façons ils répondent pas aux demandes

Y a pas de miracle : durcissement, surveillance et réaction rapide en cas d'incident - et continuité d'activité prête aussi -

J'ai déclenché un shitstorm sur le topic sans le vouloir

Sinon on peut parler de mon client FR qui a validé un devis depuis 1 mois et depuis aucune nouvelle pour le paiement malgré 3 relances ? Et COMEPARAZAR quand il me fait un ticket et que je lui demande où ça en est du paiement on reçoit le virement le jour même ? (Sans qu'il daigne s'expliquer de la non réponse à nos e-mails)

La solution n'est pas parfaite donc elle ne sert à rien, c'est clair
 
https://fr.wikipedia.org/wiki/Sophi [...] n_parfaite

 
Ce que je faisais avec ma stagiaire c'était un blitz tous les matins. Ce qu'elle avait fait la veille, ce qu'elle fera aujourd'hui et les difficultés qu'elle a rencontré.
Ensuite on faisait 2 vraies réunions hebdos, et si possible elle faisait une présentation/semaine.

Sur un malentendu   ça passait

 
Ah pardon, tu as raison. Ca ne sert pas à rien, j'ai manqué de finesse
 
Je reformule: sous cette forme, ça ne sert à peu près à rien
 
Tu auras beau essayer de dresser des utilisateurs tant que tu voudras, ils continueront à ouvrir leurs pièces jointes sans se poser de question.
 
Mieux vaut investir dans:
- un filtrage strict des pièces jointes
- la mise à jour constante de ton parc logiciel
- le retrait des droits admin sur les postes
- whitelist des binaires/scripts pouvant s'exécuter, blocage de tout le reste
 
t'auras de bien meilleurs résultats.

Alors. Faux. Quand ça touche un poste de travail, ça peut toucher l'AD. T'es pas a l'abri de prendre des souches inconnues qui ne sont pas vu par les anti malware.
La sécurité, c'est en couche, c'est pas juste ce qui arrange ton métier.
Là où t'a un problème, c'est ta boîte qui ne sais pas te mettre à disposition des services sécurisé pour bosser (par exemple de la workstation VDI avec des droits spécifiques pour les dev, comme ça se fait a plein d'endroits où les dev sont pas admin de leur machine locale).

Il n’y a pas de réponse définitive à cette question. C’est une question purement manageriale : est-ce que tu préfères que tes devs puissent avancer le plus vite, quitte a ce que de temps en temps il y ait un problème de sécurité, ou est-ce que tu tolères le fait que ceux-ci puissent être payés à ne rien faire, avec les projets qui s’enlisent, simplement parce qu’ils doivent attendre sur un Admin potentiellement à l’autre bout du monde qu’une microscopique librairie, parfaitement connue et maîtrisée, soit enfin installée sur son poste.
 
Et cette réponse sera fortement différente selon que tu es un éditeur de logiciels ou une banque.
 
Si il y a bien une chose que j’ai appris de mes études en droit et sécurité de la technologie de l’information, c’est que la sécurité est une affaire de politique d’entreprise avant d’être une affaire technique.
 
Édit: il y a des entre-deux.  
 
D’abord, on peut imaginer des droits intermédiaires. C’est d’ailleurs la même chose que pour les users, il y a un monde entre celui qui est complètement bloqué et ne peux rien faire d’autre à part lancer le logiciel métier ou celui qui est utilisateur standard d’un Windows normal sans GPO.  
 
Ensuite, on peut aussi imaginer que l’octroi des droits admins soit momentané et conditionné à une double paire d’yeux, par exemple un autre dev ou son supérieur, ou simplement des logs beaucoup plus poussés, même la capture de l’écran, durant la manœuvre.

Et tu te dis pas qu'il existe des solutions techniques intermédiaires ?
Mais vous faites de l'it ou pas en vrai ?

Ah, mais ça s’est croisé avec mon édit.

Sans parler que si tu fais trop attendre les devs, ils ont vite fait de s'installer une VM perso et y mettre ce qu'ils veulent

Devsecops les z'amis

 
Bien pour ça que j'ai viré mon antivirus

 
ouais alors comment dire .... on en est à des années-lumières ?
 
Le devops appliqué, c'est dans 80% du temps "ouais, on arrive à livrer automatiquement en production sans intervention humaine".
Euh comment dire, c'est du CI-CD ça, pas du devops.
 
Maintenant, mon avis perso est que dans la course à la sécu entre les hackers et les IT des boites,
les IT sont dans leur grande majorité perdantes.
 
Les attaques actuelles de ransomware sont beaucoup trop sophistiquées par rapport aux sécurités mises en place.
Je connais peu de boites qui ne sont pas des passoires face à ce genre d'attaque, qui peut venir de partout ...
 
Et finalement, les trucs à l'ancien marchent encore pas si mal (le backup régulier sur bande par exemple).

Il est majeurs au moins ?

Complétement glucose  

je ne peux que vous croire que ca existe, mais jme demande vraiment ce que ca fait de bosser dans ce genre d'environnement, je n'ai jamais connu en 20ans et 30+ boites différentes

Si tu bosses dans un COGIP sans backup ni filer il faut changer de COGIP. A moins que ça existe et que tu racontes de la merde, ou que tu ne sois pas au courant que ça existe (ce qui est limite pire).
 

Vu les énormités proférés par les devs ici elle n'est pas prête de s'arrêter

Vous avez un centre de formation pour la certif itil v4 à conseiller ?

Tu aurais suivi l'actu sécurité des 5 dernières années, tu saurais que c'est largement suffisant pour casser un AD complet.

Tu n'as qu'à pas utiliser d'AD

Faut pas s'étonner que le marché de la sécu soit si prometteur (même pour nous)

Sur le poste de travail, ya un vrai écosystème autour de Qubes OS par exemple. Et sur le serveur, c'est justement un domaine qu'on approche nous

ah c'est sur que ca limite les risques de golden ticket

Bah cible la personne qui profère l'énormité plutôt tout une catégorie de personne en fait
Ou c'est trop compliqué ?

J'ai un client qui a préféré mettre en place un Samba AD plutôt qu'un AD, "parce que Linux, c'est plus sûr".

Avoir les droits admin local sur un poste qui est connecté à un AD est largement suffisant pour casser un AD complet
Pas besoin d'avoir des droits d'admin de l'AD ?
Ça a marché comment cette histoire ?

edit: https://doublepulsar.com/how-locker [...] 66551f5880

Relis le titre du topic, je ne vais pas coller des redface à chaque poste non plus

J'ai encore des batigest version 12 qui plantent, avec cette erreur :
Chemin d’accès de l’application défaillante : C:\APIBAT\BatigestStd\Entrep.exe
Chemin d’accès du module défaillant: C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesCommonX86\Microsoft Shared\Office16\ACEDAO.DLL
 
Je cherche mais je vois pas de mise a jour  a enlever
 
Bon d ici 15j le gars passe sur une version a jour d'apibat, mais la c'est chiant