Bonjour,
En effet Applocker peut être une solution mais sa mise en place serait pénible chez nous car nous avons pas mal de spécifique (et je peux mettre un nom sur chacun des profils que tu as cité :)).
Ma boite a décidé de passer de Sophos à Symantec et j'ai utilisé Sophos pendant des années... J'ai souvent pesté notamment sur les MaJs qui sont en échec sur les postes et c'est chiant à débugger avec Sophos.
Mais Symantec est à mon avis moins flexible que Sophos, mais, à ma grande surprise, pas si mal que ça à l'usage. Saufs les rapports qui sont merdiques et qui nous ont forcé à taper directement dans la base pour extraire nous-mêmes les données et les présenter.
Cordialement,
Bruno
-----Message d'origine----- De : Stephane Martin [mailto:stephane.martin@vesperal.eu] Envoyé : mardi 16 juin 2015 22:27 À : Pierre Schweitzer Cc : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv; frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel
Clairement, Applocker est trop méconnu, ça flingue 95% des malwares.
Sur un poste Applocké, le malware d'Evgeny pourra toujours se brosser pour exécuter sa charge après avoir p0wné Adobe Reader.
Le Cryptolocker de Boris va aussi avoir beaucoup de mal.
Ca ne risque pas de gêner Josiane dans ses tâches de secrétariat (MS Office fonctionnera sans problème).
Par contre Jean-Luc le libriste revendicatif va s'énerver quand il ne pourra plus exécuter son Firefox portable sur clef USB (Jean-Luc n'a pas confiance dans Mordac le security officer et méprise le navigateur d'entreprise).
Plus gênant, Amandine la data-scientist ne pourra plus gérer sa distrib R ou Scipy toute seule. La DSI a intérêt à carburer pour télédéployer tout ce dont elle a besoin à la volée (Hint: SCCM ça marche bien, Novell Zenworks euhhhh).
Sans parler de Vincent le dev agile et les 429862968 outils qu'il cherche à tester chaque jour.
Exemples basés sur des cas réels ;) Le profil d'activités des utilisateurs est à regarder de près avant de déployer. Il faut aussi, de mémoire, un AD pas trop vieux (2008R2) et des licences Windows >= Enterprise (en Pro, pas d'Applocker, bienvenu dans le monde merveilleux de SRP).
Sinon, Clamwin, ça ne sert pas à grand chose. L'efficacité d'un antivirus ça ne tient pas tant à la qualité de son code, qu'à la capacité de l'entreprise qui l'édite à proposer des mises à jour fréquentes et à bâtir des heuristiques pertinentes. Il faut une grosse R&D et un gros support pour ça. Ca n'est guère le champ du logiciel libre.
J'ai une affection particulière et subjective pour les produits Sophos (parce que ça pète jamais en prod). L'AV Trend par contre, juste une lonnnnngue et pénible expérience de malwares non détectés.
Cordialement, Stéphane
Pierre Schweitzer a écrit :
Pour protéger l'utilisateur de lui-même dans ce genre de situation, sous Windows, il existe des solutions Microsoft telles que :
- AppLocker : https://technet.microsoft.com/fr-fr/library/dd759117.aspx
- EMET : https://support.microsoft.com/en-us/kb/2458544
Pour avoir eu des feedbacks d'entreprises l'ayant en production, c'est radical (et efficace). Et ça évite que l'utilisateur qui lance n'importe quoi sans réfléchir puisse compromettre son poste.
On 06/15/2015 04:06 PM, CROCQUEVIEILLE Bruno wrote:
Oui mais les utilisateurs sont des... utilisateurs :'(
Cordialement,
Bruno
CSSI -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Dominique Rousseau Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel
Le Mon, Jun 15, 2015 at 01:23:41PM +0000, CROCQUEVIEILLE Bruno [Bruno.Crocquevieille@socgen.com] a écrit: [...]
Je vais revenir donc sur ce pb en quelques lignes :
Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.
Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document qui prétend être une facture provenant de quelqu'un qu'ils ne connaissent pas (nom, adresse email, objet), ils ne devraient même pas envisager de l'ouvrir.
(oui, je sais, je vis au pays des bisounours)
Liste de diffusion du FRsAG http://www.frsag.org/