<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Hello,</p>
    <p>Ça dépend de la taille de ta structure, et de l'objectif de ces
      postes "renforcés".<br>
    </p>
    <p>Pour la vie de tous les jours ? Afin d'avoir un OOB ? Pour quels
      types d'opérations ?<br>
      Un accès sur site ou potentiellement à distance ? Combien
      d'admins, de techs ?<br>
      <br>
      Ce n'est pas la même chose de concevoir une archi d'administration
      pour une PME de 10 personnes dont l'administration sys/net
      s'effectue tous les 32 du mois, que pour une grosse boîte avec 20
      admins full time ;)<br>
      <br>
      Bonne journée,</p>
    <div class="moz-signature">
      <p style="font-family: Helvetica, Arial, sans-serif; font-size:
        12px; color: #999;"><span style="font-weight: bold; line-height:
          17px;">Cécile Martron</span> <br>
        <span style="color: #999;">Ingénieure Systéme Réseaux et
          Télécommunication</span> <br>
        <span style="color: #999;">+33 (0) 6 85 44 33 38</span></p>
    </div>
    <div class="moz-cite-prefix">Le 26/05/2021 à 11:26,
      <a class="moz-txt-link-abbreviated" href="mailto:elpablodelcasata@netcourrier.com">elpablodelcasata@netcourrier.com</a> a écrit :<br>
    </div>
    <blockquote type="cite"
      cite="mid:ea-mime-60ae1459-7c10-2851b809@www-8.mailo.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div>Bonjour la communauté,</div>
      <div><br>
      </div>
      <div>Dans le cadre de l'amélioration de la sécurité du SI je vais
        mettre en place des postes administrateurs "renforcés" pour les
        admins sys & réseau / le support.</div>
      <div>Je voulais votre point de vue sur ce type de poste. Je ne
        souhaite pas rentrer dans la parano extrême mais je voudrais un
        bon équilibre sécu sans contraintes extremes.</div>
      <div><br>
      </div>
      <div>Il s'agit de machines virtuelles<br>
      </div>
      <div>Les postes seront dans un VLAN dédié et commun (non pas un
        vlan par poste)</div>
      <div>1 poste par admin sys et tech réseau</div>
      <div>1 poste commun au support (multi utilisateurs)<br>
      </div>
      <div>Des règles de FW par machine</div>
      <div>Les outils nécéssaires (putty / rdp ...)</div>
      <div>Les admins ne sont pas admin de la vm.<br>
      </div>
      <div>Un antivirus est installé <br>
      </div>
      <div>Pare Windows en mode bloque tout sauf RDP</div>
      <div>App locker<br>
      </div>
      <div>OTP pour l'ouverture de la machine</div>
      <div><br>
      </div>
      <div>J'hésite a mettre les machines au domaine, en tout cas celle
        des admin sys, pas le support. L'ANSSI préconise que
        l'authentification soit faite par l'annuaire du SI
        d'administration ... une AD ? la je trouve que c'est trop. (P18
        <a
href="https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf"
          rel="noreferrer noopener" moz-do-not-send="true">https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf</a>
        ) Qu'en pensez vous ? <br>
      </div>
      <div>Voyez vous d'autres point intéressantes ?<br>
      </div>
      <div><br>
      </div>
      <div>Merci pour votre avis.<br>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
Liste de diffusion du FRsAG
<a class="moz-txt-link-freetext" href="http://www.frsag.org/">http://www.frsag.org/</a>
</pre>
    </blockquote>
  </body>
</html>