Steph69

La base : pas de données hors perso sur les postes utilisateurs Sinon avec un serveur de fichier bien segmenté, seul un bout des données se fera chiffrer (sauf le coup de pas de bol ou c'est le DG qui ramène le crypto ^^), et backup et clichés instantanés. Cela suppose une conformité RGPD et bonnes pratiques au niveau de la gestion des droits (pas d'utilisateur admin du domaine comme on voit encore parfois). On en parle pas assez, mais les clichés instantanés sur un serveur de fichier ça peux gérer plus de 90% des demandes de restauration dans un délai ridicule et pour un coût ridicule aussi (ça coute juste de l'espace disque). Pour les 10% autres, sauvegarde locale + externalisation. Si tout cela est respecté, le délai de remise en service sur un crypto majeur est faible : - restauration du serveur de fichier (ou des clichés si suffisants) - Remasterisation des postes utilisateurs (avec un WDS et une image bien faite ça va super vite) Pour revenir sur les questions du topic : - Antivirus : pas de marque en particulier, juste une version pro avec une console de monitoring. Il ne faut pas les activer à minima (oui c'est relou un antivirus, mais si on désactive toutes les fonctions ça sert à rien) - Pour la sauvegarde : * Si la sauvegarde locale est sur un NAS, brider les accès au NAS au strict minimum (désactiver tous les protocoles non utilisés, filtrage ip source, etc.) * Ne pas monter le NAS en direct sur le serveur (genre disque S de sauvegarde en iscsi, montage smb, etc), mais utiliser un montage dans le soft de backup, du ftp, n'importe quoi mais que l'OS ne soit pas capable d’accéder au NAS nativement si il devait être compromis (enfin si l'os est compromis sur le serveur de sauvegarde c'est que le compte admin est compromis souvent) * Toujours avoir une autre backup externalisée ou sur un autre site - Sensibilisation : Oui c'est sans fin, mais si on n'en fait pas les utilisateurs ne le seront jamais. Être disponible pour les questions et ne pas juger, il vaux mieux répondre 3 fois par jour a la question "est-ce que je peux ouvrir ce mail " que de se prendre un crypto violent. Après dans des cas extrême d'attaque ciblée, aucune protection ne sera efficace à 100% (sauf une backup très bien ficelée), ils sont quand même doués ces pirates ... Sur des cas de ransomware lambda je croise les doigts mais pour moi ça s'est toujours soldé par une restauration fichier voir machine entière. PS : la vie d'une boite ce n'est pas que les serveurs et les fichiers, vérifier aussi la sécurité et les backups sur les services SAAS (qui a dit O365 ?)

C'est sur que la licence 2019 serveur edition datacenter a 17€ hors reduc ^^ Mais le prix d'origine ne correspond à rien (ça a jamais couté 300$ prix public...), ils précisent pas le nombre de core (ben oui le licensing en 2019 datacenter c'est par core). Sinon pas de CGV, site à HongKong (Arnaque à la TVA probablement), alors après peut être que les clé fonctionnent avec de la chance. Pour du perso pourquoi pas, c'est comme gratter un Rapido défois on gagne ^^ Pour du pro moi c'est banni. PS : Je sais qu'il faut financer le site, mais ce n'est peut être pas le meilleur partenariat pour tech2tech...

Avec lien fibre, synchro cloud temps réel au choix et sauvegarde type glacier. Les Nas savent le faire nativement et ça limite les couts (bien que 10To en cloud c'est pas gratuit ^^) Si pas de fibre, c'est du bricolage, lourd et moins fiable.

Franchement vous avez déjà vu le prix des licences éducation chez Microsoft https://educandco.fr/120-microsoft Juste pour comparaison sur les CAL RDS : https://www.pc21.fr/fiche/6vc-03728-microsoft-windows-remote-desktop-services-2019-licence-1-licence-d-acces-client-utilisateur-academic-olp-i2449472.html https://www.pc21.fr/fiche/6vc-03748-microsoft-windows-remote-desktop-services-2019-licence-1-licence-d-acces-client-utilisateur-licence-ouverte-win-single-language-i2449359.html

Plus que du RDS, l'idéal dans ce cas serait du VDI pour moi. C'est comme du RDS mais plus souple à gérer au quotidien : - Les utilisateurs ont chacun leur instance virtuelle basée sur une image de base gérée par l'admin - Chaque utilisateur a son propre environnement et documents - Les softs sont centralisés dans l'image de base et il est possible de tester une MAJ sans devoir couper tout le monde - On peut très bien avoir 2 images type prof et élève - Une fois en place cela demande peu de temps d'admin

bon ben apéro pour fêter ça !

Le plus rapide est de tester, un p2v ça va vite SI c'est un token matériel, prendre la référence exacte et fouiller Google, ça peux s'émuler de façon logicielle.

Suggestion 1 : L'antivirus qui scan tous les documents a l’ouverture d'un dossier réseau ? L'arbo ca marche car t’a pas de doc, mais dès que tu rentre dans un dossier chargé la cata. Et ça marche sur l'ancien car t’a une exclusion des familles au fin fond des paramètres de l'antivirus ? Suggestion 2 : Quelles sont les règles et fonctionnalités activées sur le VPN au niveau Stormshield ? T’aurait pas de l'IPS/AV qui traine ?

Faut désactiver le pare-feu

L'article est nul mais regarde la partie publication par GPO : https://sites.google.com/site/mathurinnangmo/active-directory/utilise-un-gpo-pour-deployer-des-applications-de-bureau-7-zip-et-google-chrome

Les performances de transfert inter VM sur le même hôte ne sont pas dépendantes du réseau physique. As tu pensé a regarder du coté des performances disques ? Ou sinon de la signature SMB qui impact les performances sur les OS récents.

Le FW est peut être inclut dans l'offre opérateur MPLS, c'est des choses qui se voient. Pour revenir sur le MPLS, avec le nombre limité de site de ce schéma, il me semblerai judicieux de comparer le cout du MPLS par rapport à des liens normaux et du VPN inter-site géré par un FW sur chaque site. (Ça se calcule sur la durée d'engagement des liens MPLS et en général on se rend compte que l'investissement dans des FW est plus que rentable.) Par rapport à la partie WAN, appeler un /30 un pool d'IP public me semble un peu abusif, la dedans on rentre l'IP du FW, de la gateway, du réseau et le broadcast, autant dire une seule IP utile niveau WAN soit le strict minimum (même si certains opérateur se permettent de vendre des /31...).

C'est un MPLS fibre intersite avec sortie internet mutualisée vu le schéma. Le seul intérêt est de faire tout le filtrage internet des sites sur un seul FW. Petit commentaire, je parie que le serveur du siège n'a pas de SSD, et un HyperV tenant 2 TSE sans SSD ça doit ramer sévère Le SBS 2011 est hors support ça doit disparaitre. Les 2012 Foundation sont en EOL dans 3 ans, a supprimer avant. Y'a du MPLS faut aller vers une cible infra (et AD) unique type cluster d'hyperviseurs sur le siège et éventuellement PRA/PCA/AD 2daire sur un autre site. De même backup doublé sur 2 sites (y'a du lien Giga faut pas se priver). Pour optimiser, l'infra existante doit pouvoir faire le PRA ^^

le serveur en face serait pas sur un adressage en 192.168.1.0/24 ? genre conflit de routage entre la plage source et destination

Y'a du fondation et du SBS, donc ils ont pas une thune ! Postule pas la bas ? plus sérieusement c'est une hérésie cette infra : - y'a 4 domaines différents (but why ???) - les liens intersites sont en Giga mais ils centralisent internet sur le lien MPLS 20M (pas de redondance internet au passage) - les backup en mode gratos avec windows serveur backup sans doublon ni externalisation... (allez peut être ils ont des disques durs externes qui tournent ) - Je parie que la licence du siège n'est pas conforme, on peut bien faire 2 VM sous un hôte HyperV avec une seule licence mais c'est à condition qu'il n'ait aucun rôle ce qui n'est pas le cas - 22 utilisateurs sur un 2012 fundation ? la licence dit 15 max