Bonsoir/jour  
 
Je cherche mais en vain une GPO qui interdit aux users du domaine de désactiver le firewall... j'ai trouvé un tas de gpo qui me permet d'autoriser, interdire un programme ou voir même de masquer certaine chose mais aucune qui correspond à mes besoins du projet.... je tape peut être pas les bons mots clés aussi mais voilà je bloque et je peut pas faire sans puisqu'on me l'impose...  
 
Par hasard savez vous ou puis-je mettre la main sur cet règle?  
 
Merci

google "windows firewall gpo" très dur https://docs.microsoft.com/en-us/wi [...] d-security

Si l’utilisateur n’est pas admin de sa machine il ne peut pas changer les paramètres du firewall

La partie pare-feu peut aussi être gérée via une solution de sécurité (antivirus) installée sur le PC.

Après les firewalls soft sur les workstation… si ton reseau est bien construit et safe… je n’en vois pas trop l’intérêt !
Mais bon si les users sont admins du pc, c’est peut-être mieux

 
Un réseau n'est jamais safe.
Limiter l'accès au RDS, au WMI, etc des postes clients est salutaire.

Quoi?

 
La sécurité périmétrique c'est un concept ancien, qui n'est certes pas à négliger mais qui doit impérativement être complété vu les menaces modernes au niveau de chaque point de terminaison.
 
Documente toi sur la propagation latérale qui fait le bonheur des ransomwares actuels C'est pour ça par exemple que MS a sorti depuis plusieurs années un outil simple et efficace pour s'assurer que les machines n'ont pas toutes le même mot de passe admin local (LAPS). Après il faut aussi protéger les machines contre les exploits "wormables" qui peuvent se propager sans authentification via une faille non corrigée.
 
En l'occurence sur un desktop il n'y a aucune raison de laisser les ports sensibles (ceux listés plus haut mais aussi RPC, SMB...) exposés en large - le minimum requis pour que les dispositifs d'assistance à distance fonctionnent et c'est tout.

Ok je suis au courant de ça et laps est en effets utilisé dans ma boite, mais en limitant les droits des utilisateurs ne limite t on pas déjà fortement la surface d’exposition ?
Et qui dit droits limités dit aussi pas moyen de changer les paramètres du firewall

Non ça ne suffit malheureusement pas.
 
Tu n'es jamais à l'abri d'un APT qui peut s'infiltrer via un mail ou une vérole sur un site bizarre ou via un bandeau de pub, se déploye en utilisant une faille locale d'élévation de privilèges, un zero day, et/ou récupére un credential d'admin qui traine sur la machine.
 
Donc déjà limiter de manière "hard" la propagation latérale sur les postes de travail, c'est déjà complexifier la vie de ton attaquant, mais ça suffit pas parce qu'il faut penser aussi aux serveurs et aux DCs, définir et ségréger correctement les accès des admins des différents étages, mais je vais pas te refaire le modèle par Tier que MS a documenté depuis plusieurs années (qui reste valable sur les environnements on premise mais qu'il faut commencer à faire évoluer pour tenir compte du Cloud).
 
Juste ne pas oublier que de plus en plus on est en mode roaming, avec des portables, que patcher un portable qui est n'est pas allumé tout le temps ni connecté 100% du temps au réseau corp c'est potentiellement plus compliqué, et qu'on ne maitrise absolument pas où ton utilisateur va connecter son portable, potentiellement peut êre un réseau domestique infesté par le dernier crackware en date du petit dernier.