Reprise du message précédent :
Y a un truc pour faire taper les machines hors domaine sur le wsus du domaine il me semble  

Je sais pas si c'est secure  

Faut faire à la main ce que fait la GPO quand les machines sont dans le domaine : modifier des clés de registre
 
Tu penses à quels problèmes de sécu?

T'as juste à modifier le registre de la machine pour la faire pointer vers le serveur Wsus et ça fonctionne.

Edit: changement de page  

tu modifies les clés de registre, tu déposes le root CA si tu es en https et ça roule !
 
Edit : là même

A force , la signification du sigle PEBKAC commece a être connu des users   les mecs de l'IT migrent progressivement vers d'autres dénominations pour ne pas froisser trop les plus susceptibles ( et , étrangement, souvent les plus cruches   , corrélation ? Causalité ? Mystère   )

Les éléments de language a la mode sont "bug interface chaise -clavier  ", abrégé en  "bug ICC"    

Ou problème " HI-DI-ten-TI   "

Moins non plus j'ai pas pigé avant de lavoir écrit  

[b][/b]

la couche 8 du modele OSI, ça passe creme.

Couche 8, c'est ce que j'utilise depuis des années.

Voilavoilavoila....  
 
Je pense que je vous avais déja parlé plusieurs fois comment la maison mère de ma cogip a une vision biaisée de l'Europe, avec Dubai ou l'Afrique du sud qui rentrent sous ma responsabilité Europe...
 
Bon alors, les encyclopédies ne sont pas encore au courant, mais je vous annonce officiellement que le Brésil, le Canada et l'Australie viennent aussi apparemment de signer le traité de Maastricht.  

ta maison mère est aux US, non ? Donc les américains refilent le canada aux européens ?

C'est ça.
 
En fait ils sont en train de changer mon role/titre. Maintenant ça va être OUS au lieu de Europe (Outside US).
 
Je pense que ça montre vraiment une certaine mentalité. aller jusqu'à me refiler le canada, alors que c'est leur continent et timezone..

fuck emea and apac, MURICA FIRST

Du coup ton salaire vient donc d'augmenter en proportion ?

 
C'est en cours de discussion
 
En fait ça fait pas mal de temps que j'avais pas mis les pieds dans le topic, je change de rôle en même temps.

Et au final, zetes sûrs que ça devient pas vous la maison mère avec une filiale américaine ?

Que me conseillez vous comme gestionnaire de passwords multi équipe à mettre en place ? des déconseils sur certaines solutions sont bienvenus aussi

CyberArk

C'est celui que tu déconseilles, on est d'accord ?

Pas testé mais... Teampass ?  

Testé.
Ergonomiquement c'est pas trop mal à l'usage (a la conf par contre...). C'est un peu austère par contre. Et un peu buggé.

Bitwarden open source très bon mais pas testé en mode team

quelqu'un aurait un site web européen pour vendre des cartons de transport pour serveurs ?  
 
on a déja utilisé eux mais ils ont que du 1 et 2U, il nous faudrait du 4U
https://www.servershop24.de/en/serv [...] /a-120751/
 

 
 
genre ça : https://www.servershop24.de/en/serv [...] /a-120750/  

oh purée
 
kindly thanks mister palm

 
On l'a aussi et c'est pas la joie.
Les accès linux dans un putty via une session bureau à distance windows derrière ...

Sinon y'a aussi moyen de faire du full ssh, y'a une gateway dédiée. Oui, sur CyberArk. Bon, faut que le déploiement soit fait par des gens qui savent ce qu'ils font et qui connaissent les besoins par contre
https://docs.cyberark.com/Product-D [...] O-PMSP.htm

Oui avec psm.
Faut que je regarde ça.

OK  

Comme dit par d'autres ici, Cyberark Vault mais la GUI est à chier.

Sinon ya des interfaces standalone en JS pour ouvrir des fichiers kdbx.  

Hésite pas à me mettre un MP si jamais. J'ai passé quelques semaines de formation CyberArk  

nan mais il t'as rien fait, pourquoi tu lui en veut ?
 
sans dec, on nous a installé ça, je le souhaites pas à mon pire ennemi. Chez nous c'est clairement le signe que y a plus de technique, il reste que des procédures

Pourtant c'est un excellent outil de sécurité. Et si on en arrive à avoir ce genre d'outils, c'est aussi parceque de vieilles pratiques restaient en place en mettant à risque les SI.
Les bastion à la CyberArk/Wallix, ça fait de l'isolation des creds (plus de "j'utilise mon domain admin un peu partout. Ah merde, mimikatz sur ma station de travail, AD powné" ), ça force a avoir une traçabilité de qui a accès à quoi ("nan mais file lui le root, il l'utilisera qu'une fois, c'est bon.... Comment ça fait 10 ans qu'il se connecte en root et son appli tourne aussi en root maintenant ?!" ), ça automatise le changement des mots de passe, y compris pour des comptes hors annuaire ("l'admin du firewall ? Setup123. C'est même dans un .txt sur mon bureau." ), ça permet d'enforcer du mfa partout sur l'administration, d'avoir une trace de tout ce qui est fait et quand ("l'admin exchange s'est connecté à 3h du mat' pour faire une délégation sur une boîte ?" )...
Si tout le monde était au top des précos de sécu, à jour, et avec des infrastructures parfaites, ces outils là auraient sans doute moins de sens. En attendant cette situation qui n'arrivera jamais, ils sont un énorme gain en terme de sécu*.
*Si déployés correctement. Mais ça, c'est une autre histoire

c'est bien ça le soucis :
putty ->  c'est meugnon pour bosser 5 minutes mais quand tu passes ta vie en SSH y a d'autre outils
PSM -> cool, sauf qu'ici avec notre token on a droit à une authentification PSM par cyle. Donc si tu dois rapidement te connecter A 4 machines pour réaliser des actions c'est minimum 4 minutes
Winscp -> via cyberark il freeze à mort
 
L'implémentaion a dût être plus que baclée et pensée par un goret anacéphale car pas de connexion avec des comptes nominatif, on attaque les machines avec des users techniques du coup, plus de personnalisation possible, GIT on oublie puisque tout le monde partage le même user technique (c'est beau hein ?).
 
On parle de l'inferace à chier et de la lenteur, du fait qu'on ait pas de support H24, que si ton token est perdu tu bosses pas de la journée, que pour administrer cyberark il faut passer par ....cyberark (et donc on fait quoi le jour où la plateforme tombe ?)
 
En gros ici on s'est pris un gros -30% en productivité et ça choque personne.

Pour avoir aussi testé Wallix, je le préfère à Cyberark.
Le truc qui charge une liste de wattmilles serveurs à chaque login pour rien ....

En gros, ça pas été implémenté correctement. C'est pas la faute de l'outil a priori.
Pour l'admin de cyberark par CyberArk, c'est en temps normal. Y'a aussi des accès de dernière chance avec des comptes locaux.

Si vous aviez tout d'orchestré par de l'IaC/CaC, t'aurais pas les problèmes que tu cite

iac/cac ?
 
je t'avoues que la mise en oeuvre CyberArk aditionnée à de l'administration ++ (remplir demande X, template Y, validation Z) et le climat de suspicion permanent (vous avez trop d'accès à l'IT, on vous fait pas confiance) est en train d'en faire réfléchir bon nombre à se barrer

Aucun outil ne sauvera une culture d'entreprise moisie...

encore faut il une culture.
 
Pour CyberArk la nécessité est compréhensible, la mise en oeuvre non. On donne les mêmes contraintes sur la suite office, c'est désactivé à 10h00 du matin quand tous les métiers auront bien gueuler qu'ils doivent bosser et qu'ils ont pas le temps de s'amuser

Nous on a eu ça avec une session psm intermédiaire, avec la ligne de connexion à renseigner dans son putty. Genre <ton id>@<compte technique sur la machine>@<serveur>.<domaine>
Seul truc chiant on ne pouvait au départ faire qu'une connexion par code RSA ce qui fait que quand tu dois ouvrir à la volée plusieurs machines, c'était une toutes les 30 secondes et fallait que ça ne tombe pas sur un serveur psm de mauvais poil.

Et quand tu as une définition bien costaude de machines sur ton mRemote d'environ 500 serveurs, c'est très difficile à faire migrer (toutes les tentatives de regex sur l'xml de config ont foiré )

@MsieursDams
 
toi tu bosses dans la même boite, pas possible autrement

 
que tu crois.  
cet été dans l'affaire des printer-gate, quand toutes les imprimantes perso ont été virées des machines et les serveurs d'impressions deconnectés, ça a pas été désactivé à 10h hein. Chez nous d'ailleurs les imprimantes persos* sont toujours interdites sur les pc portables des personnes en home-office.
 
*ou pro mais hors serveur d'impression central
 
Et dans une autre boite, je connais un commercial itinérant qui depuis juillet pour imprimer doit envoyer le document par email sur son téléphone, puis lancer l'impression sur son imprimante en wifi depuis le téléphone.

non ça c'est un autre sujet
les printer c'est un confort par rapport au papier là ou la pluspart des société vont vers le paerless car ça à un coût qui pèse. Les printers follow me décourage l'impression opportune et rationnalise le coût.
Devoir travailler dans un RDP qui est dans un RDP en s'authentifiant chaque fois avec un token, c'est contre productif et du coup clairement, le métier aurait eu ça ils auraient fait changé