<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<body>
<div dir="auto">
<div dir="auto">Bonjour,</div><div dir="auto"><br></div><div dir="auto">Il te faut effectivement un annuaire dédié administration. Toute auth backend sur l'annuaire de "prod métier" est à proscrire.</div><div dir="auto">J'ajouterais une CMDB de conformité des postes/VM au modèle, avec logging verbeux de toute modification. Snapshot regulier des VM admin et revert si pb.</div><div dir="auto">Si le template VM admin/support est générisque et standard, un revert 2 snapshot  automatique sur extinction/reboot est un plus. </div><div dir="auto">Enfin, un bastion + fw en coupure du réseau OOB admin vs le reste du SI est impératif. Si le budget le permet, des diodes H/W existent pour environnement sensibles (overkill dans ton cas?)</div><div dir="auto">Prévoir une station blanche pour sanitizer les échanges via supports amovibles.</div><div dir="auto">Enfin, une boite à logs pour surveiller et tracer tout ce bel écosysteme admin, et tu devrais t'en sortir.</div><div dir="auto"><br></div><div dir="auto">Bon courage</div><div dir="auto"><br></div><div dir="auto">#mytwo</div><div dir='auto'><br></div>
<div id="aqm-original" style="color: black;">
<!-- body start -->
<div class="aqm-original-body">
<div style="color: black;">
<p style="color: black; font-size: 10pt; font-family: sans-serif; margin: 8pt 0;">Le 26 mai 2021 21:21:23 elpablodelcasata@netcourrier.com a écrit :</p>
<blockquote type="cite" class="gmail_quote" style="margin: 0 0 0 0.75ex; border-left: 1px solid #808080; padding-left: 0.75ex;">
<div>Bonjour la communauté,</div><div><br></div><div>Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support.</div><div>Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes.</div><div><br></div><div>Il s'agit de machines virtuelles<br></div><div>Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)</div><div>1 poste par admin sys et tech réseau</div><div>1 poste commun au support (multi utilisateurs)<br></div><div>Des règles de FW par machine</div><div>Les outils nécéssaires (putty / rdp ...)</div><div>Les admins ne sont pas admin de la vm.<br></div><div>Un antivirus est installé <br></div><div>Pare Windows en mode bloque tout sauf RDP</div><div>App locker<br></div><div>OTP pour l'ouverture de la machine</div><div><br></div><div>J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 <a href="https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf" rel="noreferrer noopener">https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf</a> ) Qu'en pensez vous ? <br></div><div>Voyez vous d'autres point intéressantes ?<br></div><div><br></div><div>Merci pour votre avis.<br></div>

<div>_______________________________________________</div>
<div>Liste de diffusion du FRsAG</div>
<div><a class="aqm-autolink aqm-autowrap" href="http://www.frsag.org/">http://www.frsag.org/</a></div>
<div><br></div>
</blockquote>
</div>
</div>
<!-- body end -->

</div><div dir="auto"><br></div>
</div></body>
</html>