Discussion :

[Leinox]

Bonjour,

Je ne suis pas sûr d'être au bon endroit sur ce forum, mais j'ai un problème de sécurité important dans mon entreprise en ce moment.

Je travail donc dans une entreprise de R&D sécurisé avec une zone coupé totalement d'internet. Cependant les systèmes utilisés doivent être mis à jour.

La question est : comment maintenir tout le parc à jour sans créer de brèche ?

Ce qui doit être mis à jour : le parc Windows (windows vista, 7 server 2008R2, le parc RedHat, et l'antivirus Avast.
Avast nous fournit un .exe nécessitant des privilèges c'est donc le même principe qu'une application à déployer.
Pour RedHat et Windows je ne sais pas comment faire (je ne suis qu'apprenti !).

Edit: on me parle de WSUS pour windows et les applications à installer sous windows, qu'en pensez vous ?

Si quelqu'un à des solutions à proposer, je ne peux pas passer sur toutes les machines chaque jour pour installer manuellement la mise à jour Avast...

Merci d'avance

[Neckara]

Bonjour,

je ne sais pas vraiment si c'est possible avec Windows, mais je sais que dans mon IUT, on avait un serveur qui servait de proxy pour les mises à jours de Debian.

Il est donc peut-être possible de spécifier à chaque machine du parc l'adresse d'un serveur pour les mises à jour, de rechercher les mises à jour à effectuer et de les installer sur ce serveur (?)

Ensuite, normalement, tout parc qui se respecte a des scripts/exécutables pour effectuer des actions sur plusieurs postes ou sur tous les postes du parc à partir d'un poste spécifique.

[gangsoleil]

comment maintenir tout le parc à jour sans créer de brèche ?

L'equivalent d'un proxy est effectivement une bonne solution : il faut configurer chaque poste pour lui dire "les mises a jour se font a telle adresse", et hop, c'est bon.

Par contre, tu parles de ne pas creer de breche, mais le deploiement d'une solution est toujours une potentielle breche, meme si tu le testes sur un proxy.

[Miistik]

Bonjour,

Tu évoques WSUS.

Sur ce type de serveur (du moins je connais celui là), tu peux télécharger les mises à jour, les stocker sur le serveur et les transmettre aux postes concernés qui donc ne seront pas connectés par Internet.

Il est possible de l'interconnecter avec l'AD avec une belle GPO pour automatiser tout ça.

[Leinox]

Merci de vos réponse

L'utilisation de proxy est exclue, "pas suffisamment sécurisé" est l'argument qu'on me donne (un peu de paranoïa ne fait pas de mal).

WSUS pour Windows Server Update Service répond à ma première question concernant les mises à jours Windows (serveurs en cascade envisageable avec des filtres en tous genres ^^)

Me reste les .exe à déployer à partir du serveur. Je sais qu'avec un script c'est faisable, sauf que dans mon cas il est nécessaire d'avoir des droits administrateur pour pouvoir faire l'installation. Si vous connaissez un moyen de procéder je ne suis pas contre.

Concernant RedHat je suis un peu perdu... ce qui est certain c'est que ça va me prendre un moment de régler ce problème

[Miistik]

Bonjour,


Sauf erreur de ma part, il est possible de s'authentifier en tant qu'administrateur dans un script afin de s'octroyer les privilèges adéquates sur les différentes machines.

Pour RedHat, mes connaissances open-source sont assez limitées. Désolé.

[Leinox]

@Miistik : Si tu as plus d'information sur "comment s’authentifier en tant qu'administrateur dans un script" je suis preneur.
Cependant je suis sceptique, selon moi ça représente plusieurs faille importante.
On aurait à entrer le mot de passe admin en dur dans le script ?
L'exécution de script en tant qu'admin me semble trop intrusif bien que pratique pour un admin sys.

[Miistik]

Bonjour,


Cela dépend du langage que tu choisis.

On aurait à entrer le mot de passe admin en dur dans le script ?

En effet, tu as raison. Tu vas devoir spécifier à un moment le mot de passe admin.
Les failles de sécurité sont importantes, peut-être peux-tu jouer avec les droits du fichier.

[Leinox]

Jouer avec les droits du fichier ? tu veux dire faire en sorte qu'il soit installable par tout le monde ?
Je ne suis pas sur que ce soit faisable, l’exécutable modifie la base de donnée SQL de windows, et je ne pense pas qu'on puisse forcer un accès utilisateur à ces modifications.