Reprise du message précédent :

le mots de passe c'est un peut le niveau 1 de la sécurité, juste après le telnet  sur compte partagé

C'est surtout fait pour faire croire à l'utilisateur que c'est lui le problème...

 
Oui, moi aussi.

dans 90% des cas, c'est vrai
 
 
comme on dit pas chez moi :
 
Il ne faut pas prendre les utilisateurs pour des cons.
Mais pas oublier qu'ils le sont

Ce qui est con c'est de croire que l'utilisateur peut savoir ce qui se cache derrière. L'exemple du MDP est le cas d'école, l'utilisateur ne pas se douter qu'on va laisser tranquillement un mec faire un million de tentatives de connexion ou qu'on va laisser fuir la bdd avec son MDP sans utiliser de sel.
C'est comme si tu travaillais chez ErDF et que tu faisais arriver la HT directement chez les clients en disant qu'ils sont vraiment trop cons les clients ils font n'importe quoi avec...

This.
 
La base de l'hygiène en informatique : 1 personne = 1 compte utilisateur personnel sécurisé non partagé.
Que ce soit chez soi, même seul, ou au boulot.
Avoir plusieurs machines, un système de partage de données, etc... c'est de la logistique qui vient après.

Oui de ton point de vue
 
Je ne compte plus le nombre de société, ou c'est 1 PC => 1 compte utilisateur pour le service => 7 à 10 personnes qui l'utilisent (par roulement et 2 à 3 PCs "identiques" dans le bureau)
Vu que les 7 à 10 personnes utilisent tous les mêmes documents, accès, etc... Ils font au plus simple je suppose
Seul les cadres ont leur PC personnel (après ils sont seuls dans leur bureau )
 
Comme dit au dessus, vos "pratiques/utilisations, croyances, etc..." ne sont pas une généralité

dans ma petite entreprise (450k employés): c'est 1 ordi pour la vie de tout les jours et 1 PC pour l'administration de systèmes. Sur ce dernier, impossible de passer admin, impossible d'installer quoi que ce soit, pas accès a internet

évidemment des comptes séparé  entre les 2 ordinateurs.
et pour l'administration, c'est des comptes particuliers suivant le type de système que tu veux accéder (je dois avoir 5-6 comptes).

et quelque soit l'ordi : MFA a toutes les sauces ...

bref, je perd mon keepass, ... j'en ai pour une semaine pour renouveller mes acces

C'est pas toi où vous êtes 400k dans ta "petite PME" ?
 
EDIT : Ah si c'est ça, t'as EDIT

On parle d'hygiène.
Je sais bien que certains ne font pas ça, tout comme certains ont une mauvaise hygiène corporelle.

Sauf qu'à un moment donné, il faut aussi voir les risques qui ça induit.
Il suffit de regarder le nombre de fuites/vols de données à cause de droits trop élevés, de mots de passes "partagés", de devs qui se retrouvent avec les accès à la prod sur leur PC perso, etc ...
Les grands piratages médiatiques récents, ce ne sont pas des gros hacks de psychopathe comme dans les films

 
plutôt 30 ans en fait
Windows NT est multi user depuis la toute 1ere version, NT3.1 de 1993. tandis que cela est vraiment devenu dominant avec NT4 en 1996 puis ActiveDirectory autour de Windows 2000.

ActiveDirectory c'était déjà présent sur Windows NT 4 Server ... bien avant 2000.
[Edit]
Bon cela ne s'appelait pas encore Active Directory apparemment.
Pourtant on avait le concept de domaine et d'arbre.
ActiveDirectory sur Windows 2000 apportait en plus le concept de forêt.
[/Edit]

https://en.wikipedia.org/wiki/Active_Directory#History
 
Tout ça alors que comme je l'ai dit, on utilise déjà AD. Je ne sais juste pas ce que je dois faire du mdp admin, d'après vos messages je retiens deux solutions :
- Lors de la première mise en route du PC, on installe tout ce qu'il faut, on crée la session utilisateur standard, on retourne sur la session admin, on change le mot de passe en fermant les yeux et en appuyant au hasard sur le clavier et enfin on déconnecte la session admin.
- On n'utilise pas d'informatique.

SI vous êtes sur AD, alors il n'y a pas besoin de session admin sur l'ordi.

 
Quelqu'un l'a déjà dit, mais la plupart d'entre nous travaillent pour des sociétés ou des administrations avec énormément d'employés et/ou des CA imortants, et la SSI devient une préoccupation de chaque instant.
 
Pour une PME de 10p, je peux comprendre le besoin deconserver la maitrise de chaque poste par l'employé, mais :
1. Il faut géré le cas de l'employé qui quitte abruptement la société,
2. Du margoulin,
3. De la panne matérielle.
 
Pour ça, il y a des moyens simples qui ne prennent pas de temps
1. keepass, pour gérer les mots de passe admin des postes de travail et serveurs : tu les fais créer par keepass, et tu les modifies sur les postes. Le keepass a un mot de passe qui est réalité une phrase sans point commun avec la société mais facile à retenir (mais qui ne sera notée nulle part) par tous les employés qui doivent y avoir accès,
2. AD : mais on n'est plus dans la PME sans IT guy là...Enfin si AD alors LAPS : c'est inclus désormais avec AD, et ça gère les mots de passe admin tout seul comme un grand,
3. Multi comptes si pas assez de PC : la base, ça permet des accès aux documents partagés (via un partage serveur ou tout betement le dossier public sur le PC), et tout de même avoir son petit coin pour soi (même si le collègue d'à coté peut aller chercher le mot de passe admin...),
4. Les mises à jour : 1, 2, 10, ou 500k personnes, les mises à jour c'est tout le temps. Pour les toutes petites sociétés, je préconise un décalage de 7 jours par rapport à la sortie, et si pb made in MS, on décale la mise à jour d'une semaine de plus sur les postes, AD peut d'ailleurs permettre de configurer les mises à jour en auto, y compris le décalage,
5. Et enfin une sensibilisation à la sécurité IT et surtout au phishing, fléau des petites et grosses boites.
 
L'hygiène informatique c'est finalement assez simple, et la sécurité c'est un curseur : + d'argent = + de moyens = + de complexité = + de sécu
 
Pour te donner une idée du curseur : j'ai 2 PC sur mon bureau, 2 tokens, 5 comptes, 2 fédérateurs d'identités différents, 1 PC d'accès aux informations les plus sensibles de l'AD et ce PC est à la vue de tout le service (il est donc impossible de s'y rendre subrepticement), un batiment sécurisé par carte avec horaires d'entrée et de sortie, une analyse en temps réel de toute action réalisée sur les postes de l'infra....Je conseille ce type d'infra "security by design" à personne
 

Cela a fonctionné, merci même si j'y avais pensé, j'avais renoncé car pas compris que c'était lié au chiffrement la perte potentielle de données.

Je ne comprends pas la plus-value, ça ne fait que décaler le problème ? Connaitre la pass-phrase du keepass au lieu du mdp directement ? Certes la pass-phrase fait probablement augmenter la complexité du mdp mais ça reste un faux problème.

Pour l'instant, notre utilisation de AD se limitait à qui à accès à quoi sur le réseau local : principalement le serveur de partage/stockage, lui même régulièrement sauvegardé sur d'autres serveurs.

Maintenant avec les sessions connectées ça va en effet nous permettre le LAPS et le déploiement de sessions pré-établies. Mais le jour où le réseau saute, que devient l'admin ? Obligé de réinstaller Windows avec perte des données ?

La plus-value c'est de n'avoir qu'un seul MDP à mémoriser, ensuite on a un nombre illimité de secrets que l'on stocke dans la base Keepass.

C'est le problème de l'oeuf et de la poule :
En chiffrement, il y a toujours une clé en clair quelque part.

Comme le dit Umi, les coffres forts comme Keepass et autres permettent de centraliser tous ses mots de passes en les rendants accessibles via un accès unique (de préférence avec du MFA ).

Ça a des avantages comme pouvoir stocker beaucoup de mots de passes différents et complexes (bien plus que notre mémoire humaine).
Ça a aussi des inconvénients : il faut bien sécuriser ce coffre pour ne pas le perdre/corrompre, mais aussi que son accès ne soit pas compromis.

Et clairement pour ce dernier point, un mot de passe maître seul (même complexe) n'est pas suffisant.
L'idéal étant la règle des 3 du MFA :
1. ce que je connais (mot de passe, code TOTP, PIN, ...)
2. ce que je possède (appareil physique autorisé, clé type Yubico, etc ...)
3. qui je suis (biométrie)
Aucun n'étant suffisant à lui seul.

Ca fait des années que tu ne fais plus d'AD dans une TPE...tu n'as plus rien sur site, sauf les postes de travail. Tu pilotes tout via du cloud. Et tu confies l'infogérance à un presta qui s'occupera du peu de comptes/machines/softs/bobologie à gérer.

Bin ça reste visiblement d'actualité dans la boite de MaybeEijOrNot
(J'avoue mon inculture sur la partie Cloud, ça reste prohibé par chez moi)

Oui mais justement on passe au Cloud (Sharepoint, Onedrive, Entra, Copilot 365), et psychologiquement on n'est pas prêt à débrancher le réseau local. Surtout que ce nouveau système nous bloque dans le sens où on ne sait pas comment gérer les PC non personnels (équipements), à part en leur attribuant une licence avec leur accès propre mais qui serait partagé.

windows 10   22h2   mise à jour  
 
 
 
edit :
 
https://support.microsoft.com/fr-fr [...] 3b8c077c7e
 
 

Sans même parler de cloud, les profils itinérants (et donc toujours un compte par utilisateur) ça existe depuis NT.

Question:
 
Comment peu-ton savoir quelle version est distribuée par le store ?
 
Exemple avec Thunderbird:
https://apps.microsoft.com/detail/9 [...] r-FR&gl=FR
 
Je ne vois pas l'info. C'est pourtant important, surtout qu'il existe différentes versions qui cohabitent selon le canal.

peut être en passant pas Winget ?

Avec winget tu peux le savoir.
Exemple avec l'appli News :

Ça marche pô
 
 

Ce genre de chose me sidère toujours

Lance winget list sans arguments.
Il doit te sortir toute la liste et tu devrais voir le vrai nom du package, son id et sa version.

J'ai pas de Windows 10 sous la main, mais dans le Store de Windows 11 la version installée d'une appli est affichée dans les Informations Supplémentaires en bas.

Winget list me liste les packages installés, mais ça n'est pas ce que je demandais.

je viens de test avec winget et thunderbird  
quand on cherche on a pas la version sur le dépôt du store.  

 
l'option list après install me donne la version, mais effectivement que après install
 

d'ailleurs, un peut en retard par rapport au dépôt mozilla (logique)  
 
 

 
En te servant de https://store.rg-adguard.net/
 
Sur le store, tu cliques sur le bouton "partager" (carré avec la flèche à droite d'obtenir), puis "copier le lien". Dans le copié, tu enlèves tout ce qui est après le "?", y compris le "?".
 
Exemple : en copiant le lien de l'app TB, tu obtiens :
 
https://apps.microsoft.com/detail/9PM5VM1S3VMQ?hl=fr&gl=FR&ocid=pdpshare
 
Il faudra retenir :
 
https://apps.microsoft.com/detail/9PM5VM1S3VMQ
 
Puis sur https://store.rg-adguard.net/, "coller" et tu relèves la dernière version. Pour TB, en ce moment, c'est la 128.6.1.0

sinon l'id tu l'as avec winget search

S’il faut passer par un site tiers pour avoir une info sur une appli du Store de Microsoft, au lieu de pouvoir l’avoir directement depuis le site du Store lui-même…

Exactement.

Ça ne me choque pas qu'il ne t'affiche pas spécialement la versions qui sera installée, puisque ce sera forcément la dernière du Store et qu'elle sera maintenue à jour.
Il n'y a pas de micro management à faire à ce niveau là.
 
Et tu peux toujours connaitre la version que tu as à un instant T.

Dans cet exemple, je voulais savoir si c'était la version mensuelle ou la version ESR de Thunderbird qui était distribuée sur le store, et visiblement il est impossible d'avoir l'info sans l'installer (ce que je ne veux pas), en tout-cas sans avoir recours à un outil tiers.

Ça sert à savoir si la version du store est à jours vs celle distribué par l'éditeur du soft.
On le vois souvent dans les distri Linux que certain paquets ont un gros retard de version

Mais en effet, sur le PlayStore il me semble qu'on ne vois pas les numéros de versions non plus

S'il n'y avait que ça

L'app MS Store qui change ses boutons sur la barre latérale gauche une fois sur deux

Les mises à jour récentes qui se limitent à 3 items depuis plusieurs semaines

Les vitesses de téléchargement toujours aussi faméliques (comparées à AppStore / Google Play)

Certaines apps qui ne se mettent pas à jour automatiquement en dépit d'une nouvelle version sortie depuis des semaines