<div>Bonjour,</div><div><br></div><div>Nous sommes une petite équipe (3 admins) et  équipe support de 3 personnes. Nous souhaitons apporter de la sécurité sans nons plus monter une usine à gaz. <br>C'est donc pour la vie de tous les jours sur des actions d'admin : gestion des droits sur serveur de fichier, active directory, ssh, rdp sur certains serveurs, mise à jour.<br></div><div>Et des actions de support : déverrouiller un compte, changer de mot de passe, réinitialiser une session tse.</div><div><br></div><div>Donc on est pas une PME (1500 ordi) et on est pas une armée de mexicain (3 admins et 3 personnes au support tournante).</div><div><br></div><div>Cdt<br></div><br><blockquote type="cite" style="margin:0 0 0 0.5em;border-left:1px #00f solid;padding-left:1em;">De : Cécile Martron <cecile@martron.me><br>
À : elpablodelcasata@netcourrier.com;<br>
   frsag@frsag.org<br>
Sujet : Re: [FRsAG] sécu :bonnes pratiques poste administrateur renforcé<br>
Date : 27/05/2021 17:39:34 Europe/Paris<br>
<br>
<p>Hello,</p>
    <p>Ça dépend de la taille de ta structure, et de l'objectif de ces
      postes "renforcés".<br>
    </p>
    <p>Pour la vie de tous les jours ? Afin d'avoir un OOB ? Pour quels
      types d'opérations ?<br>
      Un accès sur site ou potentiellement à distance ? Combien
      d'admins, de techs ?<br>
      <br>
      Ce n'est pas la même chose de concevoir une archi d'administration
      pour une PME de 10 personnes dont l'administration sys/net
      s'effectue tous les 32 du mois, que pour une grosse boîte avec 20
      admins full time ;)<br>
      <br>
      Bonne journée,</p>
    <div class="moz-signature">
      <p style="font-family:Helvetica, Arial, sans-serif;font-size:12px;color:#999;"><span style="font-weight:bold;line-height:17px;">Cécile Martron</span> <br>
        <span style="color:#999;">Ingénieure Systéme Réseaux et
          Télécommunication</span> <br>
        <span style="color:#999;">+33 (0) 6 85 44 33 38</span></p>
    </div>
    <div class="moz-cite-prefix">Le 26/05/2021 à 11:26,
      <a class="moz-txt-link-abbreviated">elpablodelcasata@netcourrier.com</a> a écrit :<br>
    </div>
    <blockquote type="cite" cite="mid:ea-mime-60ae1459-7c10-2851b809@www-8.mailo.com">
      
      <div>Bonjour la communauté,</div>
      <div><br>
      </div>
      <div>Dans le cadre de l'amélioration de la sécurité du SI je vais
        mettre en place des postes administrateurs "renforcés" pour les
        admins sys & réseau / le support.</div>
      <div>Je voulais votre point de vue sur ce type de poste. Je ne
        souhaite pas rentrer dans la parano extrême mais je voudrais un
        bon équilibre sécu sans contraintes extremes.</div>
      <div><br>
      </div>
      <div>Il s'agit de machines virtuelles<br>
      </div>
      <div>Les postes seront dans un VLAN dédié et commun (non pas un
        vlan par poste)</div>
      <div>1 poste par admin sys et tech réseau</div>
      <div>1 poste commun au support (multi utilisateurs)<br>
      </div>
      <div>Des règles de FW par machine</div>
      <div>Les outils nécéssaires (putty / rdp ...)</div>
      <div>Les admins ne sont pas admin de la vm.<br>
      </div>
      <div>Un antivirus est installé <br>
      </div>
      <div>Pare Windows en mode bloque tout sauf RDP</div>
      <div>App locker<br>
      </div>
      <div>OTP pour l'ouverture de la machine</div>
      <div><br>
      </div>
      <div>J'hésite a mettre les machines au domaine, en tout cas celle
        des admin sys, pas le support. L'ANSSI préconise que
        l'authentification soit faite par l'annuaire du SI
        d'administration ... une AD ? la je trouve que c'est trop. (P18
        <a href="https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf" rel="noreferrer noopener">https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf</a>
        ) Qu'en pensez vous ? <br>
      </div>
      <div>Voyez vous d'autres point intéressantes ?<br>
      </div>
      <div><br>
      </div>
      <div>Merci pour votre avis.<br>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
Liste de diffusion du FRsAG
<a class="moz-txt-link-freetext" href="http://www.frsag.org/" rel="noreferrer noopener">http://www.frsag.org/</a>
</pre>
    </blockquote></blockquote>