Reprise du message précédent :

 
Famous last words.  
 
Une VM dans le vrai cloud c'est facturé à la seconde. Ça peut être intéressant, mais plus cher si elle tourne en permanence. Sinon OVH ça dit aussi cloud.

Effectivement, ça a l'air vraiment pas mal sur le papier !

 
j'ai parcouru ca ce matin
 
interessant
 
par contre j'ai pas vu de doc chez MS sur comment on passe proprement/sans foutre la merde du LAPS legacy au nouveau LAPS
 
apres ca revolutionne rien non plus ... c'est une evolution

C'est intéressant pour ceux qui ne l'ont pas encore implémenté oui.

D'ailleurs, si j'ai bien compris, cette maj a foutu le bordel pour la version legacy de certains

Petite question a ce sujet : vous gérez comment vos mot de passe admin locaux ? parce que LAPS c'est bien mais en vrai on peut facilement contourner le mot de passe via 2, 3 bidouilles via un livecd, du moment qu'on a un accès physique a la machine.

Pour empêcher ça vous faites quoi ?

si c'est dans le cadre d'un vol bitlocker suffit
sinon mdp bios + interdiction de booter sur autre chose que le disque dur

bof

TPM + Pin + Secure boot + bitlocker
Plus code sur le menu admin EFI

Passer par le mode émulation de la nouvelle version pour coexistence ?
Faut que je poc tout ça

Une serrure à la porte de la salle serveur
Si l'assaillant a un accès physique à la machine, t'as perdu.

Ok mais la je parle de poste client

Bitlocker

Avec un code pin

Merci pourquoi vos conseils, je dois regarder ça mais bitlocker nécessite l'usage d'un mot de passe au démarrage de l'ordinateur en plus de celui paramétré pour la session.

Je me trompe ou ça peut se faire en automatique ?

Je pense surtout à mes users un peu limite qui n'arrive déjà pas a retenir un seul mot de passe

Édit: un code pin ? C'est a dire ?

T'as un bon lien pour un poc si bitlocker sans code pin ?

Ça dépend. Bitlocker peut fonctionner uniquement sur la base du TPM.

Ouep, mais la TPM seule ne protège pas contre certaines attaques, donc ce n'est pas une méthode de protection recommandée.

La méthode labo : https://labs.withsecure.com/publica [...] locker-key (d'autres liens trouvables en cherchant "bitlocker tpm sniffing" )

La version pragmatique : tu prends le laptop, tu le branches en ethernet, il choppe une IP en DHCP et tu peux commencer à l'attaquer de façon classique.
T'as sûrement plein d'attaques possibles localement sur un PC booté aussi...

Perso je pense que ça ne suffit pas. Mais encore une fois, ça dépend du modèle de risque.

Sinon zéro données sur le poste client. Comme ça moins de risques.

Ça me paraît illusoire, et rien que l’acces aux données du navigateur web est une mine d’or.

Merci  

 
Faisable pour certaines choses, mais tu trouverais toujours le cache, les cookies, l'historique, token, etc. C'est déjà énorme

Chromebook pour tout le monde et basta.

Pas forcément: si le profil utilisateur est sur le réseau.
Mon profil Firefox est sur le réseau par exemple. Je change de machine: je retrouve tout (mais c'est un poil plus lent)
Rien sur la machine.

 
Aucun PC pour personne et voila.

Tu utilises un truc de firefox accounts standalone ?

edit: ah non je viens de capter, j'avais ça aussi sur nfsv4 avec tickets kerberos

En ce moment il suffit d'avoir un clone Chatgpt pour récupérer tout ce que tu veux

Pas d'électricité, c'est pas mal

Il suffit de dire à Firefox ou se trouve le profil dans le fichier profiles.ini (je suis de la vielle école , j'édite ce genre de truc dans un éditeur de texte (pas taper))

J’en peut plus des assistantes qui font que de la merde sur leur PC. Je dois à chaque fois repasser derrière pour défaire leurs conneries.
Et chaque fois c’est le même discours « tu sais bien que l’informatique et moi ça fait 2 » « je ne comprends rien en informatique »

Donc t’es en train de me dire que tu ne maitrises pas ton outil de travail principal sur lequel tu passes 8 heures par jour depuis 20 ans ?

yes et accusons l'IT de pas leur donner de formations

 
C'est l'état de la société occidentale nivellement par le bas et culte de la médiocrité. Fiers d'être con

J'ai toujours du mal à comprendre ça, est-ce que ça serait pas une posture à 2 balles au final ?

Tu as un gros retard sur l'analyse sociétale, peut être parce que 1°/ tu es barré ailleurs et 2°/ tu n'as jamais vraiment bossé

Je suis pas sûr de préférer le kissikoné qui fout une grouille pas possible dans le pc.

Celui là selon l'exposé de la thèse de la décadence il a plutôt tendance à disparaitre...

Comment elles peuvent avec un compte sans droits admin logiquement ?

 
Plein de programmes s'installent dans AppData, genre Chrome.
 
+ les autorisations de notif et compagnie dans les Chromium (Chrome / edge).
 
Tout ce qu'ils peuvent déparametrer (à peu près tout dans Outlook).
 
etc etc

Oui, j'avais des users qui utilisaient des apps portables aussi, malgré les consignes.
En particulier un qui m'avait fait perdre pas mal de temps avec un plugin maison qui ne marchait pas, il m'a fallu un moment pour voir que c'était pas la version firefox déployée par la cogip (pas mis à jour du coup forcément)