Pour bien sécuriser, faut pas oublier de virer l’humain! > Le 6 janv. 2021 à 11:13, Philippe ASTIER <phili...@astier-consulting.fr> a > écrit : > >>> Erwan David a écrit : >>> Moi j'aurais dit "disable windows", non ? >> >> Cà fait 30 ans que tout le monde essaie. Même problème : c'est de la merde, >> mais écrire qu'il faut s'en débarrasser c'est perdre son temps. >> Tu veux te débarrasser de Micro$hiotte Windoze ? 3 milliards d'humains (ou >> plus) te soutiennent. Pourquoi depuis 30 ans toi et les milliers de vieux >> cons qui étaient jeunes cons en leur temps ont échoué : parce que vous >> n'avez toujours pas compris comment marche le business. J'ai été un jeune >> con ;-) > > > Je suis pas d’accord du tout. Je croise tous les jours des boites qui ont > juste totalement viré Windows (ou au moins on-prem), voire MS totalement. Et > puis même, c’est pas parce qu’on a du Windows qu’on les configure n’importe > comment, qu’on accepte de vieilles authentifications, ou qu’on ne gère pas le > reste de l’infra. > > Maintenant, ya toujours des gens qui préfèrent payer des auditeurs pour faire > des recommandations qui ont 20 ans d’âge plutôt que de se retrousser les > manches et de s’attaquer aux vrais problèmes. > > On est au temps des IdP en SAML et de protocoles pour lesquels les bugs > d’IPv4 ou v6 ne vont rien changer, parce qu’on se repose sur des certificats > (et ça pose d’autres soucis). > > Bref, j’insiste, mais en 2021, faut juste considérer que son LAN est aussi > dangereux que le WAN, même si on prends plus de précautions. C’est les postes > qu’il faut protéger individuellement et la communication vers les services de > l’entreprise. On fait d’une pierre deux coups, parce qu’on règle en même > temps la sécurité à l’extérieur de l’entreprise, y compris en télétravail. > > Mais pas de souci. On peut faire de l’IPv4 seulement, du binding sur des > contrôleurs de domaine on-prem. On peut même encore utiliser une machine à > écrire en fait. > > Le souci remonté ici, c’est pas IPv6; c’est purement Windows, qu’on corrige > en coupant IPv6. > Autant tirer le câble réseau, c’est plus secure.
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/