On est tous d'accord que si une machine est vérolée elle doit être déconnectée du réseau immédiatement.
Cependant pour s'en rendre compte, cela peut prendre un peu de temps, et si le proxy est réglé dans Windows, alors le ransomeware n'aura pas de mal à récupérer cette info pour se connecte à internet.
Si, dans le pare-feu windows seul le processus du navigateur peut accéder à l'IP du proxy alors on bloque tout échange de clé possible !
Par GPO et je connais la GPO qui permet de définir un proxy, ce n'est pas vraiment l'objet de ma question.
De : Philippe Beauchet <philippe.beauchet@map.cnrs.fr>
À : frsag@frsag.org
Sujet : Re: [FRsAG] Règle FW windows autoriser uniquement le navigateur a communiquer avec le proxy
Date : 31/01/2020 14:34:59 Europe/Paris
Bonjour,
on peut faire plein de chose avec Windows.
Mais d'abord une remarque.
Si vous avez un poste vérolé (le ransomware en est le pire pour les
users à l'heure actuelle), il faut immédiatement "arracher" la prise
réseau. Bref, tout déconnecter (filaire ou pas) pour éviter une propagation.
Qui à déjà du se faire...
Sinon pour votre question sur le proxy on peut agir au niveau des GPO:
Localement...poste par poste.
ou
Si tant est que cette entreprise possède une infra Active Directory
(fortement conseillé)...
On peut aussi scripter.
Note.
Un FW n'agit pas au niveau d'un proxy (qui peut lui-même en être un,
même si ce n'est pas la panacée).
Après, cherchez des mots clés comme "disable WPAD".
Mais de toute façon un poste vérolé est considéré comme "dead". Il
faudra voir aussi ce qu'il à contaminé...partage SMB, clés USB...etc, etc).
On pourrait parler d'analyses aussi mais ce n'est pas le sujet.
--
Cordialement,
Philippe Beauchet
CNRS
Le 31/01/2020 à 13:25, elpablodelcasata@netcourrier.com a écrit :
> Bonjour la communauté
>
> Dès lors que l’on est vérolé par un ransomware, il est important de
> bloquer toutes les communications vers internet pour limiter les
> échanges de clés de cryptage qui servent au rançongiciel.
>
> Dans une entreprise possédant un proxy déclaré dans le navigateur n’est
> il pas possible sur tous les postes utilisateurs de bloquer par une
> règle de FW toutes les communications vers cette IP sauf pour le process
> du navigateur ?
>
> Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un
> retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
>
>
> Moz
>
>
> _______________________________________________
> Liste de diffusion du FRsAG
>
_______________________________________________
Liste de diffusion du FRsAG