Topic: restreindre un peu les users..

[Anonymous]

Bonjour !!!

voila je voudrais savoir si il est possible:


1 de faire en sorte que certaines IP de mon LAN ne puisse telecharger des truc via le net en FTP ou HTTP
(je vois fleurir des sharewares et autres fond d'ecrans sur les postes de mes users)

en gros le surf est permis, recuperer une belle image pour le fond d'ecran OK mais telecharger nop interdit ...

le top du top c'est de pouvoir dire si c'est du pdf OK du doc ou xls ca roule mais zip ou exe non niet pas question....

Qu'en pensez vous ?

A+

Tbird

[schirrms]

Salut,

Techniquement, ton idée me parait intéressante, mais je n'ai pas de solution.
A la limite, si un antivirus pour flux HTTP existe pour SME, il doit y avoir moyen, mais bon, je sais pas

Maintenant, idéologiquement (c'est mon moment philosophique du soir, tu peux t'assoir dessus !)
1) Je sui pour l'éducation des utilisateurs. La contrainte forte ne fonctionne pas à mon avis. Si tu arrives à bloquer les exe mais que tu laisses passer les .jpg, tu as des petits malins qui vont te trouver une bidouille pour transformer les .exe en .jpg
Si tu bride par la force, tu crées un défi : comment n....r ce p....n d'e.....é d'admin (pardon )
2) Selon le type de boite dans laquelle tu bosses, et mis à part si tu es le boss, tu va te prendre les délégués syndicaux sur le dos (s'il y en a), les représentants du personnel, et tout le toutim. En France, pour le moment, en l'absence d'une charte utilisateur signée qui dit explicitement ce que les utilisateurs ont le droit de faire et de ne pas faire, le doute est toujours favorable aux utilisateurs.

Comme dit, tu en fais ce que tu veux

A+,
Pascal

[dlalleme]

Bonsoir,

  Complètement d'accord avec Pascal. Il faut éduquer l'utilisateur, mais Pascal l'a déjà dit ....

  Aux utilisateurs de prendre conscience qu'ils ont un outil formidable à leur disposition. Celui-ci leur permet de travailler dans de bonnes conditions. Ils doivent l'utiliser autrement qu'un produit de consommation qui permet de télécharger ou de consulter n'importe quoi !!!! Mais je sais que cette conscience n'est pas évidente à faire passer même si de petits écarts sont tolérables ....

   S'il y a abus ou malveillance, l'avertissement ou le blâme peut s'avérer d'actualité ... Tout est une question d'équilibre, mais je ne suis pas un spécialiste des lois. Allez voir du côté de la CNIL.

   Cordialement

   Denis

[Anonymous]

Merci pour vos reponses !

je partage entierement votre avis, et c'est ce que j'applique au boulot (50 users) mais j'en ai marre du guss qui me telecharge les 200 Mo de la demo de virtualskipper ou de n'importe quel jeu (il ne peux pas les installer au boulot mais il les grave ) et pas moyen de virer les combo graveurs parcequ'ils pretextent les utiliser pour les sauvegardes....)


de plus j'ai un antivirus sur les mails mais je ne sais pas trop comment faire pour les users qui telechargent les pieces jointes de leur mails provenant de yahoo caramail ou autres ...
donc c'est pour principalement empecher cela que je posais la question..

PS Je suis aussi delegué syndical   alors ma charte je l'ai signé des 2 mains  

A+

Tbird

[Souley]

Salut

Gerant pas mal de reseaux de toutes tailles je pense aussi qu'il faut eduquer les utilisateurs

Pour les recalcitrans j ai quelques solutions :

-1 Limitation de la BP
-2 Strategie de securite interdisant les install de soft (GPO sous WIN2K ou utilisation de .pol sous nt4/9x)
-3 Mise en place d'une charte d'utilisation des outils informatiques
-4 Reunion avec la personne + son responsable pour lui faire entendre raison
-5 En cas d'abus interdiction de certaines URL type yahoo voila msn ... (edition du fichier host et faire correspondre domaine.com => 127.0.0.1 )

En tant qu'administrateur reseau c'est a nous d'imposer les regles et non pas laisser les users les dicter
Il ne faut pas confondre

J applique ce genre de mesures dans les cas les plus complexes (en general uine reunion globale avec les users suffit)
J'insiste sur le fait de les sensibiliser

Actuellement on doit avoir 20 000 postes si les users pouvaient faire comme ils l'entendent ca serait vite le souk

Autre chose :
Pënsez a mettre un sniffer sur le lan
Y'a tjrs un user qui se croit malin et essaye de chopper un compte admin
Avec un sniffer il est facile de le reperer et de le contrer


Je suis peut etre un peu rude mais ma specialite etant la securite je ne rigole pas la dessus
Il nous faut considerer le LAN comme etant aussi critique qu'intrenet => 90 % des infections/hack proviennent d'une source lan  

[onsy]

Essaie Squidguard
http://www.squidguard.org/intro

Tu peux mettre des filtres sur les url donc à priori tu peux interdire les ftp://....
Cherche sur contribs.org les howto sur squidguard.

[Anonymous]

Tu peux installer les DansGuardian est redirigerer le port 80 sur un proxy transparent en 8080, bien sûr le tout est filtré par DAnsguardian.

Je l'utilise au boulot et tu parametre ce que tu veux, les extensions de fichiers accordées ou non, les ip des machines à bannir ou non, la taille max de download autorisée, etc etc

voici le lien pour le download :
http://www.trasksinc.com/esmith/