Bonjour, Je profite de mon premier message pour me présenter à la liste. Alexandre, 24 ans, assistant responsable informatique.
J'aurais besoins de conseil vis à vis d'un antivirus multi-sites. La structure actuel, 60 utilisateurs sous WinXP. 5 sites dont : - 25 à Paris - 25 à Soissons - 5 à Pierrelattes - 5 à St Astier Tout est relié via une connexion VPN Orange, en 2Mb/s Nos serveurs sont dans un local à Soissons.
L'antivirus que nous utilisons est G-DATA. Mais depuis quelques temps, il nous plombe le réseau quotidiennement en effectuant les màj des postes client. On a alors décidé de mettre un poste qui répercutera les màj sur chaque site. Mais rien n'y fait. Les màj continue à faire planter le réseau.
Quelqu'un à déjà eu ce genre de soucis ? Un conseil pour un autre antivirus ?
Merci
Le 26/08/2010 17:23, Tr4sK a écrit :
Bonjour, Je profite de mon premier message pour me présenter à la liste. Alexandre, 24 ans, assistant responsable informatique.
J'aurais besoins de conseil vis à vis d'un antivirus multi-sites. La structure actuel, 60 utilisateurs sous WinXP. 5 sites dont : - 25 à Paris - 25 à Soissons - 5 à Pierrelattes - 5 à St Astier Tout est relié via une connexion VPN Orange, en 2Mb/s Nos serveurs sont dans un local à Soissons.
L'antivirus que nous utilisons est G-DATA. Mais depuis quelques temps, il nous plombe le réseau quotidiennement en effectuant les màj des postes client. On a alors décidé de mettre un poste qui répercutera les màj sur chaque site. Mais rien n'y fait. Les màj continue à faire planter le réseau.
Quelqu'un à déjà eu ce genre de soucis ? Un conseil pour un autre antivirus ?
Merci
J'ai utilisé, sur de gros sites (entre 700 et 900 postes, connectivité 100Mb/s), les antivirus suivants, chacun avec ses points positifs et négatifs.
- OfficeScan (la version d'il y a 3 ans) : - passoire : il disait presque "bienvenue petit virus, installe toi" (normal : les virus contournent et s'adaptent face à certains antivirus) - léger (ne ralentissait pas trop le poste) - administrable avec un simple navigateur web - Kaspersky (version actuelle) : - ralenti énormément les postes, beaucoup de ram est nécessaire pour faire tourner une protection, même de base - m'a sauvé la vie face à Conficker - bonne détection de tout ce qui passe - administrable par console MMC - mises à jours de mi-juillet a fin août : 25 Mo environ. - on peut choisir l'heure de mise à jour, ou l'événement (maj reçue sur le server d'administration) - on peut mettre plusieurs serveurs d'administration, certainement configurable pour du multi-site.
Vu le cas ici, VPN et faire connectivité réseau en terme de débit, il me semble logique de : - mettre un serveur antivirus par site. - synchroniser entre les serveurs tous les soirs et mettre à jour les postes clients tous les matins. - ou laisser allumé les postes clients le soir.
J'ai entendu du bien de Microsoft Forefront, car on "choisit" les moteurs composant l'antivirus installé sur les postes clients. Donc on paramètre le coté "besoin en ressources" face au coté "taux de détection". Voyant la qualité de l'antivirus gratuit MSE, j'aimerai tester Forefront un jour. J'ai aussi entendu que Norton Antivirus (la dernière version en date) est légère sur les postes clients, et fonctionne correctement (mais pas vu de mes yeux alors, je ne m'avance pas trop ...).
Question : En interne, dans les sites, c'est quoi le débit ? du 10 mb/s (si oui, jetez le Dlink ... et achetez un cisco / HP / 3com ) ? Vous avez tenté un Wireshark pour voir ce qui se passe ? arp flood, attaque de worm ? C'est pas normal qu'une simple mise à jour antivirale (quelque soit le produit) vous flood le réseau ! Que dit l'éditeur de Gdata ? Vous avez acheté la licence, donc un support, non ? Comment gérez vous WSUS ? Si le réseau tombe avec des maj antivirales, quid avec de gros téléchargements de ce chez Windows Update ? Sans mises à jours Windows, point de sécurité et l'antivirus est alors inutile ...
Cordialement,
Le 26/08/2010 23:50, frsag@webmail.fr a écrit :
- Kaspersky (version actuelle) :
- ralenti énormément les postes, beaucoup de ram est nécessaire
pour faire tourner une protection, même de base - m'a sauvé la vie face à Conficker - bonne détection de tout ce qui passe - administrable par console MMC - mises à jours de mi-juillet a fin août : 25 Mo environ. - on peut choisir l'heure de mise à jour, ou l'événement (maj reçue sur le server d'administration) - on peut mettre plusieurs serveurs d'administration, certainement configurable pour du multi-site.
Bonjour,
je plussois. J'en ai testé plusieurs aussi, et clairement l'interface d'admin de Kaspersky est la meilleure. Pour les histoires de lourdeurs, ya tout pleins d'options, on peut désactiver des composants pour alléger le poste, selon leurs utilisations (web, pas web mais clef usb, ...) Autre point positif: la gestion différenciée pour la mises a jour des laptops, afin qu'ils se mettent a jour sur le réseau locale quand ils sont au bureau, mais peuvent se mettre à jour à distance en déplacement.
Pour finir: j'ai pas envie de changer pour autre chose.
Quand j'administrais un petit parc d'une taille semblable avec une flotte de nomades importante j'utilisais NOD32, je n'ai jamais eu de soucis ai j'ai eu une agréable impression de contrôle des clients.
Seul problème que j'ai eu c'est le mode silencieux de l'antivirus qui est réellement silencieux... les users n'ont pas de messages leur avertissant de la mise en quarantaine d'un objet identifié comme dangereux.
Mais ce petit désagrément doit être paramétrable, la console d'admin est vraiment très complète et on peut rapidement avoir un bref aperçu de l'état des clients, on appréciera par ailleurs la possibilité de sortir des stats qui peuvent se révéler très intéressantes.
Soit disant passant ce thread n'aurait il pas plutôt sa place sur FrSAG ? My 2 cents, -- Thomas
Le 27 août 2010 10:43, Greg greg-frsag@duchatelet.net a écrit :
Le 26/08/2010 23:50, frsag@webmail.fr a écrit :
- Kaspersky (version actuelle) :
- ralenti énormément les postes, beaucoup de ram est nécessaire pour
faire tourner une protection, même de base
- m'a sauvé la vie face à Conficker
- bonne détection de tout ce qui passe
- administrable par console MMC
- mises à jours de mi-juillet a fin août : 25 Mo environ.
- on peut choisir l'heure de mise à jour, ou l'événement (maj reçue sur
le server d'administration)
- on peut mettre plusieurs serveurs d'administration, certainement
configurable pour du multi-site.
Bonjour,
je plussois. J'en ai testé plusieurs aussi, et clairement l'interface d'admin de Kaspersky est la meilleure. Pour les histoires de lourdeurs, ya tout pleins d'options, on peut désactiver des composants pour alléger le poste, selon leurs utilisations (web, pas web mais clef usb, ...) Autre point positif: la gestion différenciée pour la mises a jour des laptops, afin qu'ils se mettent a jour sur le réseau locale quand ils sont au bureau, mais peuvent se mettre à jour à distance en déplacement.
Pour finir: j'ai pas envie de changer pour autre chose.
-- Greg
FRsAG mailing list FRsAG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
Ca m'apprendras à tout ranger dans frnog sans regarder les entêtes ;-) /offtopic
-- Thomas
2010/8/27 Bedis 9 bedis9@gmail.com
Soit disant passant ce thread n'aurait il pas plutôt sa place sur FrSAG ? My 2 cents, -- Thomas
ça tombe bien, tu y es ;) _______________________________________________ FRsAG mailing list FRsAG@frsag.org http://www.frsag.org/mailman/listinfo/frsag
On Fri, 27 Aug 2010 15:11:23 +0200, Thomas Barandon T.Barandon@gmail.com wrote:
Quand j'administrais un petit parc d'une taille semblable avec une
flotte
de nomades importante j'utilisais NOD32, je n'ai jamais eu de soucis ai
j'ai
eu une agréable impression de contrôle des clients.
<first-post-here>
Bonjour tout le monde,
Pour les parcs larges avec besoin d'administration centralisée il y a aussi f-secure qui peut mériter un coup d'oeil : http://www.f-secure.com/fr_FR/products/business/centralized-management/polic...
Les 2-3 expériences d'usage de ce machin ont été plutôt positives en ce qui me concerne (mais ça date un peu).
my 2 cents
Maât (grenouille.com toussa)
</first-post-here>
Merci pour vos réponses :) Bon d'une, tout les postes vont resté allumé pour le week-end. On verra bien lundi si le manager va se calmer (C'est le manager qui nous plombe le réseau).
Gdata, nous propose une solution multi-site. On la mise en place depuis un moment. Mais pas d'amélioration apparente.
On 26/08/2010 23:50, frsag@webmail.fr wrote:
Question : En interne, dans les sites, c'est quoi le débit ? du 10 mb/s (si oui, jetez le Dlink ... et achetez un cisco / HP / 3com ) ?
Les VPN sont à 2Mb symétrique. Orange VPN business. Si tu parles de l'accès web. 4Mb/s par Nérim.
Vous avez tenté un Wireshark pour voir ce qui se passe ? arp flood, attaque de worm ?
Je vais matter ca un coup ce week-end
C'est pas normal qu'une simple mise à jour antivirale (quelque soit le produit) vous flood le réseau ! Que dit l'éditeur de Gdata ? Vous avez acheté la licence, donc un support, non ?
En effet, réponse bateau. Mon patron à échangé quelques mails avec eux. D'après lui rien. Ils répondent sans chercher à en savoir plus.
Comment gérez vous WSUS ? Si le réseau tombe avec des maj antivirales, quid avec de gros téléchargements de ce chez Windows Update ?Sans mises à jours Windows, point de sécurité et l'antivirus est alors inutile ...
En ce qui concerne WSUS. On ne fait pas de màj de poste. On les fait une fois le poste installé. MAIS : Les clients, n'ont pas accès au net. Tout est en intranet, seul le navigateur à accès au net (Firefox régulièrement mis à jour par les utilisateurs eux même). Un proxy bien restrictif + filtre de l'user-agent aux cas où. Les mails, pareils. Thunderbird sur un serveur interne avec proxy pour afficher les images distantes. Enfin bon, c'est pas le sujet de base :)
Le 27/08/2010 21:00, Tr4sK a écrit :
Merci pour vos réponses :) Bon d'une, tout les postes vont resté allumé pour le week-end. On verra bien lundi si le manager va se calmer (C'est le manager qui nous plombe le réseau).
Gdata, nous propose une solution multi-site. On la mise en place depuis un moment. Mais pas d'amélioration apparente.
On 26/08/2010 23:50, frsag@webmail.fr wrote:
Question : En interne, dans les sites, c'est quoi le débit ? du 10 mb/s (si oui, jetez le Dlink ... et achetez un cisco / HP / 3com ) ?
Les VPN sont à 2Mb symétrique. Orange VPN business. Si tu parles de l'accès web. 4Mb/s par Nérim.
Je pensais que tu avais plusieurs PC sur le même site. Tous connectés par un réseau local avant de passer dans le VPN ou dans l'accès internet. Non ? C'est sur ce switch qu'il faut poser le serveur "miroir" de signatures antivirus (enfin, tu t'en doutes!). C'est pour ça, là je suis un peu perdu (je connais pas l'architecture ...).
Vous avez tenté un Wireshark pour voir ce qui se passe ? arp flood, attaque de worm ?
Je vais matter ca un coup ce week-end
C'est pas normal qu'une simple mise à jour antivirale (quelque soit le produit) vous flood le réseau ! Que dit l'éditeur de Gdata ? Vous avez acheté la licence, donc un support, non ?
En effet, réponse bateau. Mon patron à échangé quelques mails avec eux. D'après lui rien. Ils répondent sans chercher à en savoir plus.
Fait monter la pression... le mieux, le téléphone avec les mots "inacceptable", "remboursement", "vous vous moquez de nous", "..." :)
Un moyen pour planifier les MAJ ? Plage horaire + jour ? (je ne connais pas la console Gdata) Je pense, dans ton cas, faire une maj / jour dans l'ordre de distribution suivant : serveur principal > serveurs de sites > postes clients respectifs (logique ...), tout ça le soir, ou le WE (bref lors de la non utilisation des postes clients).
Parfois en échangeant avec certaines boites de logiciels, j'ai pu bénéficier de versions "beta", contenant l'amélioration désirée (dans mon cas par le passé : installation à distance silencieuse).
Comment gérez vous WSUS ? Si le réseau tombe avec des maj antivirales, quid avec de gros téléchargements de ce chez Windows Update ?Sans mises à jours Windows, point de sécurité et l'antivirus est alors inutile ...
En ce qui concerne WSUS. On ne fait pas de màj de poste. On les fait une fois le poste installé. MAIS : Les clients, n'ont pas accès au net. Tout est en intranet, seul le navigateur à accès au net (Firefox régulièrement mis à jour par les utilisateurs eux même). Un proxy bien restrictif + filtre de l'user-agent aux cas où.
Ouais enfin Conficker, il arrive par clé USB hein ... Pour ne citer que le dernier, car ils sont nombreux à utiliser l'autorun.inf. Lance rapidement ton Wireshark pour vérifier ça :) Si tu as trop d'ARP, c'est que quelque chose ne va pas. De même, si certaines imprimantes réseau parlent l'AppleTalk, ou le "Lexlink" (protocole lexmark), ou tout autre non utilisé, ça use du packet pour rien.
Et si ce n'est pas fait chez toi : désactiver la lecture automatique des périphériques USB (ou bloquer tout périphérique USB) est un gage de sécurité (voir : GPO ou patch par regedit + une MAJ windows à appliquer, car la désactivation de la lecture automatique des périphériques amovible a un bug ... si ça intéresse quelqu'un, je vous file le script).
Personnellement, j'ai vécu un mauvais week end avec Kido / Conficker, car certains collègues étaient trop "larges"... heureusement pour eux, ils n'étaient plus là quand j'ai pris ces sites ayant ce problème ... :)
Bref, je te conseille *fortement* de mettre plusieurs WSUS (un par site, connecté en 100mb/s aux postes clients, comme pour l'antivirus), et de faire les mises à jours le soir et / ou le week end. MAJ critiques et de sécurité au minimum, si tu es limité en espace disque sur tes serveurs (regarde le catalogue WSUS : tu télécharges ce que tu veux, en fonction d'un catalogue produit).
Internet ou pas il faut remédier à ce "trou" de sécurité, ou en tout cas ne pas négliger l'importance des mises à jours Windows.
Les mails, pareils. Thunderbird sur un serveur interne avec proxy pour afficher les images distantes. Enfin bon, c'est pas le sujet de base :)
Sympa et bonne idée ça !
Fait gaffe cependant : j'ai vu passer certains virus, contenus dans un fichier .zip protégé par un mot de passe. L'antivirus du serveur mail n'ouvrant pas le zip, il le laissait passer ... suffit d'avoir un luser et ... plouf. La même chose est possible avec une simple macro jouant avec Microsoft Office... si on est parano :)
Bon courage à toi, et tiens nous au jus sur la résolution de ce soucis.
++
-
Bedis 9 -
frsag@webmail.fr -
Greg -
Maât -
Thomas Barandon -
Tr4sK