Non ça ne suffit malheureusement pas.
Tu n'es jamais à l'abri d'un APT qui peut s'infiltrer via un mail ou une vérole sur un site bizarre ou via un bandeau de pub, se déploye en utilisant une faille locale d'élévation de privilèges, un zero day, et/ou récupére un credential d'admin qui traine sur la machine.
Donc déjà limiter de manière "hard" la propagation latérale sur les postes de travail, c'est déjà complexifier la vie de ton attaquant, mais ça suffit pas parce qu'il faut penser aussi aux serveurs et aux DCs, définir et ségréger correctement les accès des admins des différents étages, mais je vais pas te refaire le modèle par Tier que MS a documenté depuis plusieurs années (qui reste valable sur les environnements on premise mais qu'il faut commencer à faire évoluer pour tenir compte du Cloud).
Juste ne pas oublier que de plus en plus on est en mode roaming, avec des portables, que patcher un portable qui est n'est pas allumé tout le temps ni connecté 100% du temps au réseau corp c'est potentiellement plus compliqué, et qu'on ne maitrise absolument pas où ton utilisateur va connecter son portable, potentiellement peut êre un réseau domestique infesté par le dernier crackware en date du petit dernier.
Message édité par Ryo-Ohki le 15-05-2021 à 18:48:52
---------------
The Lapin, reloaded | "Anything can happen in Formula One, and it usually does." -- Murray Walker