Bonjour à tous,
 
Environnement Windows  2008 r2  Xenapps 6.5(bureau citrix publié)
 
Est-ce quelqu'un  c'est déjà retrouvé devant le cas  d installation de google chrome qui s'installe sans les droits admin (installation dans appsdata).
 
Si oui avez-vous trouver le moins de bloquer ce type installation ?
 
merci d'avance pour vos conseils et vos retours expérience
 
razer69

via les GPO on doit pouvoir bloquer suivant les noms des packages d'installation et/ou la signature numérique.

Bonsoir,
 
 
http://windowsitpro.com/windows/ho [...] gle-chrome

Pas mal de navigateurs libres et de malwares font ca. Tu peux contrer ca avec Applocker (que tu géres via gpo)

Via les restrictions d’accès internet déjà, sur un serveur bureau a distance navigation ultra limitée et généralement pas de téléchargement d'EXE pour les simples users.
Pour le blocage de l'appli en lui même tu as peut être une possibilité via l'antivirus.

merci pour vos retours.
 
Lone Morgen, nous avons un pare feu (stormshield) ou je bloque les .exe etc mais maintenant les site sont en https et donc passe à travers la sécurtié du stormshield.
 
Par contre si dans internet explorer il y une regle pour interdire le téléchargement de exe je suis preneur

y'a ne gpo pour ca :
 
Computer configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone\Allow file downloads
 
 
limite a ie.

 Le pare feu doit être capable de gérer ce type de filtrage sinon va falloir penser a son remplacement, batailler avec de la conf système alors que les flux sont pas maitrisables c'est du palliatif, beaucoup de temps a prendre pour au final des sécurités contournables et lourdes à gérer. La grande majorité des menaces passent par des flux chiffrés, d'après ce que tu dis, actuellement votre niveau de protection est insuffisant, je connais pas les fonctions de votre stormshield mais ça m’étonne, vieux modèle ou surcharge avec les modules de secu activés ?

pour Applocker si je ne me trompe pas, il faut une version windows entreprise
https://technet.microsoft.com/fr-fr [...] s.11).aspx

ça tombe bien ici c'est un serveur RDS donc dispo sur les éditions serveurs

 
bonjour,
 
stormshield sn710 (passage en version 3.0.3 dans la semaine)  .
 
Après justement c'est https, car il faut qu il déchiffre pour qu'il voir que c'est un exe, non ? sans le déchiffrage il ne vois rien.

C'est ça il faut activer le déchiffrement le pare feu va jouer le rôle de proxy , vérifier comment l'activer et les effets de bord possibles.

justement si j'active le déchiffrement https,
 
=> il me faut un certificat valide ou bien utiliser l'autocré par le stormshield, c'est ca ? Un vrai certificat cout cher?  
 
Nous avons chez nous, des certificats par clé USB (virement bancaire) et gouv.fr (SIV) .
Comment va se passer , le fonctionnement avec ces dispositif? Faut-il bypasser quelque chose?

Je ne connais pas le proxy mais théoriquement il faut que tu crées un certificat CA qui soit installé sur tous les clients.
Ensuite le proxy va générer un faux certificat signé par ce CA et communiquer avec cette liaison SSL avec le client. En parallèle le proxy fait du https "classique" avec le site visé.

C'est une sorte d'attaque Man in the middle:

Lors de l'établissement de la connexion, le proxy signe un certificat pour "server.com" avec son CA, certificat qui est accepté par le client car il a le CA "pirate" dans ses listes de confiance.
Le proxy établit la connexion SSL2 avec le certificat officiel du site.

Le proxy n'a plus qu'à chiffrer/déchiffrer les flux de données.

Ne faut-il pas clairement informer les utilisateurs de ce fonctionnement ?
Car cela peut porter atteinte à la confidentialité des échanges de données.

Je pense que ça doit être écrit dans la charte informatique, mais ce n'est pas vraiment différent d'un proxy HTTP DPI classique, a part peut-être le fait que l'utilisateur ne peut plus vérifier l'authenticité du site distant, c'est le proxy qui le fait.

Cela dit le jour ou ma boite fait ça, je passerai par mon téléphone pour toute navigation perso.

(Au passage l'utilisateur peut toujours vérifier quel CA a signé le certificat, et donc déterminer si son trafic est inspecté ou pas. Il peut aussi supprimer le certificat "pirate" pour que le navigateur refuse la connexion si celle-ci est inspectée)

Merci pour vos réponses.
Donc il doit avoir un paramétrage qui dans le cas d'un certificat (cle USB) faire bypasser le SSL, non ?

Je plussoie la solution de l'Applocker / GPO & co pour bloquer les installations.

Activer le déchiffrement HTTPS c'est sale comme solution.
La vérification du certificat SSL n'est plus possible par le client, seul le proxy DPI est en capacité d'effectuer les vérifications.

Si tu as des applications qui font du HTTP Public Key Pinning, ça devrait poser problème aussi.

Bref cette 2ème solution nécessite une étude avant mise en œuvre (outre les aspects charte informatique / information de l'utilisateur)