Cobalt - Poste Client

Environement Windows

Sur les postes client Windows de tous les utilisateurs nous aurons 2 logicielles de sécurité afin de compléter la partie flux. Sandboxie et le Bitdefender Endpoint. L'ensemble des flux internet passent par les proxies.

 

Sandboxie

La micro virtualisation de processus. L'idée est simple créer une bulle dans laquelle on va faire tourner un processus ou une application pour l'isoler du reste du système. Cette bulle peut être plus ou moins ouverte ou totalement fermer.

Une fois le processus ou l'application terminé l'ensemble des données et effacer. En cas de code malicieux ce dernier ne pourra donc pas se propager au reste de la machine. Dans ma configuration je considère que tous les programmes connectés à l'internet est un vecteur d'intrusion et son donc dans des sandboxes (skype, outlook, firefox etc)

 

J'ai redigé un article plus technique pour sa mise en place : La micro virtualisation

 

 Voici un exemple de mon Skype dans sandboxie

 

 J’ai créé une règle ou le nom de l'application commence par [#] et le cadre est en rouge

En cas de chargement d'un document le système me propose de le sortir de la bulle un pop-up s'ouvre avec une demande d'action

Voici quelques règles de mon sandboxie F-Lab. On peut autoriser des folders par exemple sans demande d'autorisation. Surtout s’il y a des bookmarks ou des settings de configuration d'application

Le principe du bac à sable est de plus en plus utilisé car il permet d'isoler des datas pour analyse avant de les charger dans des environnements de production

Le cout de ce logiciel pour 5 licences à vie le rend tout à fait abordable (75$) https://www.sandboxie.com

 

Bitdefender endpoint

C'est l'antivirus corporate gravityzone avec une Appliance vm dans l'infra (pas de cloud !!!! c’est contre ma religion). Le cout en licence n'est pas négligeable mais il garantit le bon fonctionnement de l'infra. La question que l'on peut se poser en faisant des économies sur la sécurité et combien cela coute si c'est cassé et là on se rend compte que l'on joue avec le feu.

 

Un système de Dashboard configurable permet de voir l'ensemble de l'infra avec bien sur la création de rapports

 

Voici quelques stratégies que j'ai définies dans le gravityzone

 

Chaque client possède un certain nombre de module Antimalware, firewall content, blocage des périphéries etc. (ici l'activation d'un IDS)

 

Il y a aussi la possibilité de filtrer les pages internet

 

Sous les projecteurs