Reprise du message précédent :

 
Se trimballer 2 laptops dont un juste pour les mails ?
 
Oui c'était aussi une autre solution envisagée.
 
Perso je vois pas un admin d'astreinte se trimbaler 2 laptops en datacenter et s'envoyer sous slack le copier/coller d'un screen/output pour le mettre dans un mail  
 
Tu me diras comme la VM n'a pas les tools VM, le copier/coller ne fonctionnera pas non plus sur la VM  
 
 
Bref, j'ai jamais vu ça en 20 ans de carrière pro

 
C'est pas "si sécurisé", c'est juste que si le SI a le contrôle des postes admins, les audits sont bien plus lourds puisqu'ils intègrent tout le SI du coup.
 
L'idée au départ c'est justement que les admins puissent bosser efficacement

et ils peuvent pas leur donner accès à un bureau distant pour la partie desktop ?

Va voir PAMS, ou même passerelle sécurisée/DR, c'est la solution privilégiée : un poste d'admin qui ne sert qu'à ça et un poste bureautique avec le même profil qu'un poste standard.

Vu comme ça, ici on fait pas d'itinerant. Le matériel opérationnel ne bouge pas.
Mais scission du matériel opérationnel et du matos bureautique.

Si, ce serait le plus intelligent Non mais rien n'a été discuté

Non mais y'a une logique à ségmenter ça c'est sûr, après côté opérationnel y'a aussi beaucoup de passerelles à passer depuis le poste, tu vas pas ssh en direct depuis le poste de toute manière.

C'est surtout le fait de n'avoir aucune solution pour utiliser tes mails pendant une semaine pour finir avec une VM Windows 8G comme solution définitive pour pouvoir avoir tes mails Certains admins ont 8G de RAM sur leur laptop. Préparation, anticipation, communication

Autant le process de migration de la messagerie a l'air d'avoir été mal pensé/exécuté, autant la VM bureautique sur le poste d'admin pour éviter d'avoir 2 postes ça se fait...

Sinon y a le PAW aussi...

Ou Qube

Bah les admins vont adapter le truc au final pour que ce soit plus utilisable, juste dommage qu'après 8 mois de "préparation" ça se passe comme ça

PAW c'est le concept de poste d'admin dédié (privileged Access workstation), ça ne dit pas particulièrement comment tu gères la partie bureautique (à part qu'elle ne doit pas être directement sur la PAW)...

Et un bureau à distance sur des VM ailleurs ? Ça serait pas plus simple?
J'avais pas vu la réponse déjà évoqué.

 
Putain pourtant vu le groupe derrière spa comme si ça manquait de moyen chez toi pour faire intervenir les bons interlocuteurs, quitte à ce que ce soit direct les PFE MS.

La faille Exchange exploitée par le ransomware DearCry
https://www.lemondeinformatique.fr/ [...] 82265.html
 
Je sens qu'il va y avoir des surprises demain sur les Exchange qui ne sont pas encore patchés.

C'est pas forcément plus simple puisque ca implique de gérer une infra de VDI ou une infra RDS en plus, mais c'est une solution

L'idéal c'est dans l'ordre :
1) Poste dédié
2) poste d'admin multiniveau (donc avec une VM "admin" et une VM "bureautique", le tout géré par un hyperviseur de confiance)
3)poste d'admin qui accède à distance à une VM ou un poste bureautique.

Pourquoi pas l'inverse ? Parceque " Il est à noter que la solution inverse, qui consiste à accéder depuis un poste bureautique à un poste d’administration par connexion à distance, est à proscrire (cf. figure 4.6). Eneffet, le poste bureautique ayant potentiellement accès à Internet, sa compromission pourrait permettre à un attaquant d’espionner les actions effectuées depuis le poste (frappes clavier, copies d’écran), en particulier les connexions initiées vers le poste d’administration (ex : adresse IP, mot de passe). Unattaquantpourrait alors rejouer ces connexions et, par rebond, accéder aux outils d’administration puis au SI administré."

Source RECOMMANDATIONS RELATIVES À L'ADMINISTRATION SÉCURISÉE DES SYSTÈMES D'INFORMATION, ici https://www.ssi.gouv.fr/administrat [...] formation/

Tu veux dire des gens qui communiqueraient avec les clients et les fournisseurs pour produire une solution adaptée qui a minima fonctionnerait ?

Mais qu'est-ce que c'est que cette façon de bosser aussi...entre des postes de travail non contrôlables (wtf ?), avec des admin dessus en plus ( wtf ??), et de la bureautique installé dessus par-dessus le marché (wtf ???)
 
 

8G c’est toujours moins que ce qu’utilise Chrome pour un tab gmail  

Pourtant c'est fondamental d'avoir une machine d'admin dédiée si tu veux mettre en place le tiering model...
Machine d'admin qui ne devrait pas pouvoir accéder à slack par ailleurs

Webmail ?  

Il te faudra toujours un poste bureautique pour y accéder, t'es pas censé avoir internet ni pouvoir lire tes mails sur la machine d'admin

 
Pour mettre en place le vrai  
Dans les ETI (et je ne parle pas des PME sauf des super spécifiques), y'a toujours un compromis, souvent trouvé au travers d'un bastion.

 
Ouais nan mais par accident  

Les failles exchange et les ransomware
La VM Windows 8go pour le mail

Je suis pas trop au fait des solutions de ce genre.

Pour moi chaque application son réseau. Enfin presque

Et ta machine admin dédié, quand tu es chez toi (en astreinte par ex), tu fais comment pour intervenir à distance ?  
A un moment, tu passes bien par internet (VPN) ??  

J'ose espérer que les flux réseaux soient bien verrouillés  

On a pas d'astreinte, présence H24 7/7 sur site.
Mais bon, je fais pas vraiment de l'info, un peu, mais pas que.

Bah non. Pour certains clients, appel en astreinte = déplacement sur site obligatoire.
Et si ta machine d'admin n'a pas un accès direct à internet, tu peux l'atteindre via des machines de rebond par exemple. En sécurisant tout ça pour que ça ne soit pas la fête du slip.

C'est pas parceque tu n'utilise pas la machine d'admin pour de la bureautique/accès internet, qu'elle ne peut pas monter un IPSec via internet (vers une gw dédiée) et être un laptop, pour faire de l'admin en remote.
Faut juste s'assurer qu'elle puisse pas faire de la consultation internet : applocker, Fw local filtrant tout sauf IPsec et DHCP, chiffrement de disque, double authent...
Bon, sauf si ton SI a administrer est un SI de classe 2. Là c'est pas trop possible via internet.
Au pire, MPLS jusqu'au logements des admin et Mistral à chaque bout

Post alerté pour usurpation d'identité  
Jamais le vrai gloubi n'aurait parlé d'une solution sub-optimale alors qu'on n'en est qu'à expliquer la base de la théorie!

 
Ah je me fais vieux

Un merdier pareil juste pour de l'authentification.
   
Je ne comprend pas le bloquage du webmail ?

oui voilà.

A un moment quand c'est pas une grosse équipe et en fonction de ce que tu fais, tu trouves des solutions intelligentes pour pas que tout soit l'enfer (c'est déjà pas mal de contraintes le 2FA à répétition et les timers pour joindre des serveurs).

Après ne vous méprenez pas, la VM n'est pas là pour des raisons de sécurité mais juste parce que c'est impossible pour eux de donner accès aux mails autrement. Ce même service donne des url en http:// non SSL pour des outils utilisateurs hein

En fait toutes les auths renvoient vers un SSO qui demande entre autre un "certificat device" et un enregistrement dans le domaine MS.

Il y a surement des solutions intelligentes hein (au moins une VM Ubuntu), mais eux ils ont pas envie d'en chercher manifestement, surtout en 8 mois

 
Fin du retour d'expérience: on va partir sur des routeurs 4G pour le secours.
 
On a monté nous-même un secours ipsec avec un routeur 4G, ça fonctionne très bien mais ça a ses limites. On va plutôt utiliser les routeurs 4G d'un intégrateur et qui offrent plusieurs avantages.
 
Principalement:
- ils sont multi-sims, vers 2 opérateurs différents, ce qui est intéressant dans le cas où l'opérateur du lien principal a une panne plus ou moins régionale
- ils fournissent des IPs fixes indépendantes de la connexion: ils montent des tunnels avec le routeur 4G vers leur DC et font du 1 to 1 vers le routeur depuis l'ip fixe du DC
 
Pour grosso-modo 100€/mois, c'est pas l'affaire du siècle mais au moins c'est simple à mettre en oeuvre et ce sera fiable.
 
Donc, en comptant la fibre ftth de départ, ça fait la connexion vpn à ~150€/mois, pour du gbits secourus par 4G.
 
Je trouve ça bien.

 
Tu peux avoir ça sur n'importe quelle machine non ? un windows, un linux ou un mac

 
Tu peux tomber sur une solution qui utilise exclusivement une appli Windows pour enregistrer le certificat.
A moins de vouloir d'amuser à reverser le processus, tu utilises Windows.  

Les lusers avec une boîte mail de 120 Go  

forcément, quand on leur laisse de l'espace...
 
Dans la cogip, y'a quelques années, on était chez lotus note. 500Mo de stockage serveur uniquement, fichiers de 5mo max. ça marchait très bien.  
Quand plus de place, n supprimait des mails, on faisait un export local des emails historiques, et zou.
 
On est passé exchange, on a 100go de stockage, 15mo par fichier dans l'email, archives online pour >6mois. et bien, même en gérant tes emails, j'ai plusieurs Go occupés sur le serveur, pour des vieux mails qui servent à rien. Sur les boites partagées, c'est la plaie, tout est conservé, depuis des années, aucune politique de suppression...
 
Dans ton cas, le vrai coupable c'est l'IT qui a autorisé des bal > 10go.

pas de problème, ils ont passé le user en quota illimité