> Le 7 mars 2016 à 18:28, Michel Py <mic...@arneill-py.sacramento.ca.us> a > écrit : > >> David Ponzone a écrit : >> Pour ma part, j’ai commencé par interdire les pièces jointes contenant zip, >> exe, bat, cmd, msi, etc…. >> ainsi que le téléchargement de fichiers du même type. > > Efficace mais impossible dans la plupart des organisations. C'est valable > pour les geeks, tu renommes toto.zip toto.zip.xxx avant de l'envoyer, > Impossible à mettre en pratique dans le monde réel.
Dans le monde réel, l’employé de base (au niveau IT) ne devrait JAMAIS télécharger un exe ou un msi sur son PC pour l’installer lui-même. C’est contamination garantie à court terme. De même, l’employé de base ne devrait jamais utiliser le mail pour échanger des zip, ou autre. Ensuite, sur le plupart des firewall, tu peux mettre des exceptions pour que les geeks puissent jouer. Tu peux aussi interdire les exe, et autres dangers, seulement dans les mails et les laisser passer en HTTP mais bon… Le seul problème, c’est pour que les mises à jour (et autres) de Microsoft se passent normalement, il faut autoriser les dll et cab. Petit bug chez Checkpoint sur la gamme 600: si on interdit les gzip par HTTP, on ne peut plus accéder à impots.gouv.fr. Si quelqu’un sait pourquoi….mais ça ressemble fortement à une boulette. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/