fookooflakman a écrit :
- Pour les GPO ça dépend, pour certains trucs je péfère m'en servir pour rattrapage de l'historiquen mais je préfère ne pas garder en trop d'anciennes pour savoir justement où j'en suis dans ce qui est pertinent ou pas à laisser. Remarque, c'est comme le fichier qu'on entretient sur les masters on pourrait faire la même liste pour les GPO.
|
L'idée est de standardiser la sécurité, et pour cela il faut la centraliser, donc à mon sens utilisation de GPO/GPP pour la gestion de la configuration ordinateur et utilisateur au maximum.
Parsemer le master de clés de registre modifiées c'est bien trop difficile à gérer dans le temps.
Citation :
- En quoi est-ce dangereux le truc de l'autocomplétion ? C'est juste un tip pratique.
|
L'idée derrière le thin master c'est d'avoir le minimum vital, pas plus. Donc chaque modification doit répondre à un vrai besoin, et la solution, si possible, doit passer par les outils adaptés de l'éditeur, sans bidouillage.
Donc quel est le besoin ici ? Travailler en ligne de commande ? Autant passer par du Powershell. Seulement auto-complétion ? Pareil Powershell le gère en natif. Du coup on s'orienterait ici vers l'utilisation d'un outil standardisé qui dispose en natif des fonctionnalités demandées, sans devoir bricolé un outil qui n'offre qu'une partie de ses fonctionnalités (par contre la je raisonne affranchi des contraintes).
Citation :
- Pour le logiciel financier, effectivement, pas le choix (enfin pas le budget pour le moment pour passer à une version supportée...) et le risque est limité puisqu'on sait qu'elle valeur on met, où, comment c'est paramétré avant qu'on n'y touche etc... Enfin on a recetté un peu avant quand même.
- pour la politique de sécurité, on a déjà des fondamentaux pas trop pourris, on ne déclare personne en admin sauf les dev et les gars de l'infra/exploit, on a déjà une stratégie pour les mots de passe... Pour les connexions NTLM, jusqu'à quel point de détail tu pousses la sécurité ?
|
Il faudra alors espérer que la recette n'ait rien oublié...et que la manipulation soit légale côté éditeur.
Pour NTLM : passer sur du NTLM v2 uniquement, et refuser le reste. Permet de renforcer sensiblement les mots de passe contre le crack, mais demande de vérifier la compatibilité des softs/OS.