Bloquer l'installation Google Chrome

Bloquer l'installation Google Chrome - Logiciels d'entreprise - Systèmes & Réseaux Pro

Marsh Posté le 28-01-2017 à 14:46:28    

Bonjour à tous,
 
Environnement Windows  2008 r2  Xenapps 6.5(bureau citrix publié)
 
Est-ce quelqu'un  c'est déjà retrouvé devant le cas  d installation de google chrome qui s'installe sans les droits admin (installation dans appsdata).
 
Si oui avez-vous trouver le moins de bloquer ce type installation ?
 
merci d'avance pour vos conseils et vos retours expérience
 
razer69

Reply

Marsh Posté le 28-01-2017 à 14:46:28   

Reply

Marsh Posté le 28-01-2017 à 20:38:52    

via les GPO on doit pouvoir bloquer suivant les noms des packages d'installation et/ou la signature numérique.

Reply

Marsh Posté le 28-01-2017 à 21:15:01    

Reply

Marsh Posté le 29-01-2017 à 10:57:52    

Pas mal de navigateurs libres et de malwares font ca. Tu peux contrer ca avec Applocker (que tu géres via gpo)


Message édité par nebulios le 29-01-2017 à 10:58:40
Reply

Marsh Posté le 29-01-2017 à 10:58:15    

Via les restrictions d’accès internet déjà, sur un serveur bureau a distance navigation ultra limitée et généralement pas de téléchargement d'EXE pour les simples users.
Pour le blocage de l'appli en lui même tu as peut être une possibilité via l'antivirus.

Reply

Marsh Posté le 29-01-2017 à 17:08:30    

merci pour vos retours.
 
Lone Morgen, nous avons un pare feu (stormshield) ou je bloque les .exe etc mais maintenant les site sont en https et donc passe à travers la sécurtié du stormshield.
 
Par contre si dans internet explorer il y une regle pour interdire le téléchargement de exe je suis preneur

Reply

Marsh Posté le 29-01-2017 à 21:45:14    

y'a ne gpo pour ca :
 
Computer configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone\Allow file downloads
 
 
limite a ie.

Reply

Marsh Posté le 29-01-2017 à 21:59:19    

 Le pare feu doit être capable de gérer ce type de filtrage sinon va falloir penser a son remplacement, batailler avec de la conf système alors que les flux sont pas maitrisables c'est du palliatif, beaucoup de temps a prendre pour au final des sécurités contournables et lourdes à gérer. La grande majorité des menaces passent par des flux chiffrés, d'après ce que tu dis, actuellement votre niveau de protection est insuffisant, je connais pas les fonctions de votre stormshield mais ça m’étonne, vieux modèle ou surcharge avec les modules de secu activés ?

Message cité 1 fois
Message édité par Lone Morgen le 29-01-2017 à 22:04:14
Reply

Marsh Posté le 30-01-2017 à 08:47:09    

pour Applocker si je ne me trompe pas, il faut une version windows entreprise
https://technet.microsoft.com/fr-fr [...] s.11).aspx


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 30-01-2017 à 11:01:32    

ça tombe bien ici c'est un serveur RDS donc dispo sur les éditions serveurs

Reply

Marsh Posté le 30-01-2017 à 11:01:32   

Reply

Marsh Posté le 02-02-2017 à 21:12:36    

Lone Morgen a écrit :

 Le pare feu doit être capable de gérer ce type de filtrage sinon va falloir penser a son remplacement, batailler avec de la conf système alors que les flux sont pas maitrisables c'est du palliatif, beaucoup de temps a prendre pour au final des sécurités contournables et lourdes à gérer. La grande majorité des menaces passent par des flux chiffrés, d'après ce que tu dis, actuellement votre niveau de protection est insuffisant, je connais pas les fonctions de votre stormshield mais ça m’étonne, vieux modèle ou surcharge avec les modules de secu activés ?


 
bonjour,
 
stormshield sn710 (passage en version 3.0.3 dans la semaine)  .
 
Après justement c'est https, car il faut qu il déchiffre pour qu'il voir que c'est un exe, non ? sans le déchiffrage il ne vois rien.

Reply

Marsh Posté le 04-02-2017 à 01:23:32    

C'est ça il faut activer le déchiffrement le pare feu va jouer le rôle de proxy , vérifier comment l'activer et les effets de bord possibles.


Message édité par Lone Morgen le 04-02-2017 à 01:23:50
Reply

Marsh Posté le 04-02-2017 à 12:39:58    

justement si j'active le déchiffrement https,
 
=> il me faut un certificat valide ou bien utiliser l'autocré par le stormshield, c'est ca ? Un vrai certificat cout cher?  
 
Nous avons chez nous, des certificats par clé USB (virement bancaire) et gouv.fr (SIV) .
Comment va se passer , le fonctionnement avec ces dispositif? Faut-il bypasser quelque chose?

Reply

Marsh Posté le 06-02-2017 à 13:49:41    

Je ne connais pas le proxy mais théoriquement il faut que tu crées un certificat CA qui soit installé sur tous les clients.
Ensuite le proxy va générer un faux certificat signé par ce CA et communiquer avec cette liaison SSL avec le client. En parallèle le proxy fait du https "classique" avec le site visé.

 

C'est une sorte d'attaque Man in the middle:

****************************
*         Client           *                 *************                *****************
* Avec CA de la compagnie  *  <--- SSL1 ---> *   Proxy   * <--- SSL2 ---> *  Serveur.com  *
****************************                 *************                *****************

 

Lors de l'établissement de la connexion, le proxy signe un certificat pour "server.com" avec son CA, certificat qui est accepté par le client car il a le CA "pirate" dans ses listes de confiance.
Le proxy établit la connexion SSL2 avec le certificat officiel du site.

 

Le proxy n'a plus qu'à chiffrer/déchiffrer les flux de données.


Message édité par h3bus le 06-02-2017 à 13:51:50

---------------
sheep++
Reply

Marsh Posté le 06-02-2017 à 14:47:37    

Ne faut-il pas clairement informer les utilisateurs de ce fonctionnement ?
Car cela peut porter atteinte à la confidentialité des échanges de données.

Reply

Marsh Posté le 06-02-2017 à 14:55:47    

Je pense que ça doit être écrit dans la charte informatique, mais ce n'est pas vraiment différent d'un proxy HTTP DPI classique, a part peut-être le fait que l'utilisateur ne peut plus vérifier l'authenticité du site distant, c'est le proxy qui le fait.

 

Cela dit le jour ou ma boite fait ça, je passerai par mon téléphone pour toute navigation perso.

 

(Au passage l'utilisateur peut toujours vérifier quel CA a signé le certificat, et donc déterminer si son trafic est inspecté ou pas. Il peut aussi supprimer le certificat "pirate" pour que le navigateur refuse la connexion si celle-ci est inspectée)


Message édité par h3bus le 06-02-2017 à 14:58:04

---------------
sheep++
Reply

Marsh Posté le 07-02-2017 à 21:17:04    

Merci pour vos réponses.
Donc il doit avoir un paramétrage qui dans le cas d'un certificat (cle USB) faire bypasser le SSL, non ?

Reply

Marsh Posté le 12-02-2017 à 23:13:43    

Je plussoie la solution de l'Applocker / GPO & co pour bloquer les installations.

 

Activer le déchiffrement HTTPS c'est sale comme solution.
La vérification du certificat SSL n'est plus possible par le client, seul le proxy DPI est en capacité d'effectuer les vérifications.

 

Si tu as des applications qui font du HTTP Public Key Pinning, ça devrait poser problème aussi.

 

Bref cette 2ème solution nécessite une étude avant mise en œuvre (outre les aspects charte informatique / information de l'utilisateur)


Message édité par Djeng0 le 12-02-2017 à 23:16:59
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed