Bonjour à tous,
 
Je voulais avoir un point de vue exterieur.
Nos utilisateur nomades ne sont pas administrateurs de leur pc. Cependant en tant qu'utilisateur ils peuvent se connecter à une liaison Wifi (hotel...). Je voulais savoir comment brider cela sur certains PC. En effet, lorsqu'ils arrivent chez eux, ils se connectent au Wifi, décoche le proxy et utilient leur pc pro comme leur perso!!
 
Du coup, y'a 1 mois on s'est pris un virus que nous a rammenné un utilisateur de chez lui.
 
Comment gérer vous vos utilisateurs de pc portables vis-à-vis des connexions wifi ou cables de leur maison?
 
D'avance merci.

Tu peux toujours désactiver la carte wifi au niveau de Windows, si les utilisateurs ont pas les droits d'admin ils ne pourront pas la remettre en route, mais c'est pas trop possible de faire ça pour la carte LAN. mais franchement a l'heure actuelle c'est quand meme difficilement possible de filer des portables a des mecs et qu'il ne puissent pas utiliser du wifi ou autres connexions au net avec.
Faudrait plutot mieux sécuriser tes postes, car tu pourras de toutes façons jamais bloquer tout le monde : pas de droits d'admin aux users, AV qui se met a jour meme si les users sont pas sur ton réseau, patchs de sécu windows & co déployés régulierement, firewall actif au moins en dehors de ton réseau, formation et sensibilisation des users...

ya une GPO pour ça :
 
décoche le proxy et utilient leur pc pro comme leur perso!!
 

Akizan je comprends pas ta gpo peux tu détailler stp?

Dans Active Directory, tu modifie la stratégie de groupe de tes nomades.
 
Quelque part vers Modèle d'admin / Composants windows / IE, tu dois trouver quelque chose pour désactiver les onglets.
 
À toi de jouer.

sinon, toujours dans les GPO, tu peux forcer l'activation du proxy et le parametrage.
Ca permet aux utilisateurs de se connecter en dehors de l'entreprise et de retrouver la config entreprise lorsqu'ils se connectent.

Nos utilisateurs Nomades ne peuvent pas faire de split tunneling, c'est a dire que quelle que soit la connexion Internet qu'ils utilisent ils ne pourront faire que du VPN avec le siège.
 
Ensuite pour aller sur le net ils passent quand même par le proxy du siège... donc sensé bloquer les virus.

et avec un livecd linux ?

Tu peux interdire le boot sur les média amovibles et verrouiller le BIOS.

Je déterre le thread: dans mon domaine, j'ai des nomades qui ne sont pas admin local de leur machine et je n'ai pas de proxy. Problème: lorsqu'ils sont à l'extérieur, ils ne peuvent pas modifier les propriétés des cartes réseaux (filaire ou Wifi). Du coup il leur est impossible de se connecter aux Wifi (hôtels ou autres). Est-il possible de leur donner des droits pour la config des cartes réseaux sans devoir les passer admin local de leur machine bien sûr . Merci d'avance.

Oui, il existe un groupe qui s'appelle "operateur de configuration reseaux"

Ok merci je vais tester ça. Je te tiendrai au courant si ça me va ou pas

Bon ça marche très bien pour les postes sous XP, par contre sous Vista, j'ai beau mettre l'utilisateur du domaine dans le groupe "Opératuers de config réseau", mais rien n'y fait: le user ne peut rien modifier (accés refusé ).

j'ai pas de win vista

Merci de ta réponse. Sur les postes Vista, si je met l'utilisateur du domaine en admin local de la machine, là je peux modifier le réseau (comportement normal), mais le groupe "opérateur de config réseau" ne donne aucun droit sur les cartes réseaux . Je vais lui coller le SP2 de Vista pour voir si le problème se règle. Je vous tiens au courant.

Le SP2 ne va rien changer, les possibilités des users dans "network config operators" ont été abaissées avec Vista : officiellement pour des raisons de sécurité, ils ne peuvent plus que modifier le paramétrage IP et faire du renew/release en DHCP.
Dans le meme genre, le groupe power users ne donne plus aucun droit de plus qu'un simple user sous Vista, il est juste toujours présent pour des questions de retrocompatibilité.

Merci El Pollo pour l'information. Tu ne connaitrais pas une autre solution pour mes users (hormis celle de les mettre admin local bien sûr )?

Si ta config par défaut c'est du DHCP normalement ça passe déjà sans rien toucher sur 99% des acces public au net, et s'il faut vraiment bouger l'adressage IP, les droits qui restent aux network config operators doivent normalement suffire.

Les poste sont bien en DHCP. Il va falloir que je teste ça car il me semble que sous Vista, mes users n'avaient aucune visibilité sur les réseaux existants Ethernet ou Wifi (ils sont connectés mais ne peuvent rien voir ni modifiés). Je me demande comment ces postes vont réagir lorsqu'ils vont tenter de se connecter à un Wifi (entré de la clé de cryptage et tout ...)?