Clairement, Applocker est trop méconnu, ça flingue 95% des malwares. Sur un poste Applocké, le malware d'Evgeny pourra toujours se brosser pour exécuter sa charge après avoir p0wné Adobe Reader.
Le Cryptolocker de Boris va aussi avoir beaucoup de mal. Ca ne risque pas de gêner Josiane dans ses tâches de secrétariat (MS Office fonctionnera sans problème). Par contre Jean-Luc le libriste revendicatif va s'énerver quand il ne pourra plus exécuter son Firefox portable sur clef USB (Jean-Luc n'a pas confiance dans Mordac le security officer et méprise le navigateur d'entreprise). Plus gênant, Amandine la data-scientist ne pourra plus gérer sa distrib R ou Scipy toute seule. La DSI a intérêt à carburer pour télédéployer tout ce dont elle a besoin à la volée (Hint: SCCM ça marche bien, Novell Zenworks euhhhh). Sans parler de Vincent le dev agile et les 429862968 outils qu'il cherche à tester chaque jour. Exemples basés sur des cas réels ;) Le profil d'activités des utilisateurs est à regarder de près avant de déployer. Il faut aussi, de mémoire, un AD pas trop vieux (2008R2) et des licences Windows >= Enterprise (en Pro, pas d'Applocker, bienvenu dans le monde merveilleux de SRP). Sinon, Clamwin, ça ne sert pas à grand chose. L'efficacité d'un antivirus ça ne tient pas tant à la qualité de son code, qu'à la capacité de l'entreprise qui l'édite à proposer des mises à jour fréquentes et à bâtir des heuristiques pertinentes. Il faut une grosse R&D et un gros support pour ça. Ca n'est guère le champ du logiciel libre. J'ai une affection particulière et subjective pour les produits Sophos (parce que ça pète jamais en prod). L'AV Trend par contre, juste une lonnnnngue et pénible expérience de malwares non détectés. Cordialement, Stéphane Pierre Schweitzer a écrit : > Pour protéger l'utilisateur de lui-même dans ce genre de situation, > sous Windows, il existe des solutions Microsoft telles que : > - AppLocker : https://technet.microsoft.com/fr-fr/library/dd759117.aspx > - EMET : https://support.microsoft.com/en-us/kb/2458544 > > Pour avoir eu des feedbacks d'entreprises l'ayant en production, c'est > radical (et efficace). Et ça évite que l'utilisateur qui lance > n'importe quoi sans réfléchir puisse compromettre son poste. > > On 06/15/2015 04:06 PM, CROCQUEVIEILLE Bruno wrote: >> Oui mais les utilisateurs sont des... utilisateurs :'( > >> Cordialement, > > > > >> Bruno > >> CSSI -----Message d'origine----- De : FRsAG >> [mailto:frsag-boun...@frsag.org] De la part de Dominique Rousseau >> Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re: >> [FRsAG] ClamWin + ClamSentinel > >> Le Mon, Jun 15, 2015 at 01:23:41PM +0000, CROCQUEVIEILLE Bruno >> [bruno.crocqueviei...@socgen.com] a écrit: [...] >>> Je vais revenir donc sur ce pb en quelques lignes : >>> >>> Cela commence par la réception d'un mail prétextant une facture >>> ou un autre document placé en pièce jointe. Il s'agit d'un .DOC >>> ou .DOCX. >> Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document >> qui prétend être une facture provenant de quelqu'un qu'ils ne >> connaissent pas (nom, adresse email, objet), ils ne devraient même >> pas envisager de l'ouvrir. > >> (oui, je sais, je vis au pays des bisounours) > > > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
