Je crois que Julie a décidé de nous spammer la liste frsag après avoir fait de même sur frnog.
Sent with ProtonMail Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐
On Friday, January 31, 2020 1:34 PM, Philippe Beauchet <philippe.beauchet@map.cnrs.fr> wrote:
> Bonjour,
>
> on peut faire plein de chose avec Windows.
> Mais d'abord une remarque.
>
> Si vous avez un poste vérolé (le ransomware en est le pire pour les
> users à l'heure actuelle), il faut immédiatement "arracher" la prise
> réseau. Bref, tout déconnecter (filaire ou pas) pour éviter une propagation.
>
> Qui à déjà du se faire...
>
> Sinon pour votre question sur le proxy on peut agir au niveau des GPO:
>
> https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-force-proxy-settings-via-group-policy.aspx
>
> Localement...poste par poste.
>
> ou
>
> Si tant est que cette entreprise possède une infra Active Directory
> (fortement conseillé)...
>
> On peut aussi scripter.
>
> Note.
>
> Un FW n'agit pas au niveau d'un proxy (qui peut lui-même en être un,
> même si ce n'est pas la panacée).
>
> Après, cherchez des mots clés comme "disable WPAD".
>
> Mais de toute façon un poste vérolé est considéré comme "dead". Il
> faudra voir aussi ce qu'il à contaminé...partage SMB, clés USB...etc, etc).
>
> On pourrait parler d'analyses aussi mais ce n'est pas le sujet.
>
>
> ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>
> Cordialement,
>
> Philippe Beauchet
> CNRS
>
> Le 31/01/2020 à 13:25, elpablodelcasata@netcourrier.com a écrit :
>
> > Bonjour la communauté
> > Dès lors que l’on est vérolé par un ransomware, il est important de
> > bloquer toutes les communications vers internet pour limiter les
> > échanges de clés de cryptage qui servent au rançongiciel.
> > Dans une entreprise possédant un proxy déclaré dans le navigateur n’est
> > il pas possible sur tous les postes utilisateurs de bloquer par une
> > règle de FW toutes les communications vers cette IP sauf pour le process
> > du navigateur ?
> > Quelqu’un a-t-il déjà mi en place ce type de règle ? Je recherche un
> > retour d’expérience et la méthodologie pour la mettre en œuvre sereinement.
> > Moz
> >
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/
>
> Liste de diffusion du FRsAG
> http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/