C’est un changement passé presque inaperçu, mais qui fait du bruit côté IT. Depuis le dernier Patch Tuesday, certaines actions pourtant banales déclenchent des fenêtres UAC en cascade et des messages d’erreur déroutants sur tous les comptes non admin.
Autant ça se comprends du point de vue admin, sureté et sécurité, mais du point de vue utilisateurs, c’est un plaie, particulièrement en entreprise…
2 « J'aime »
Particulièrement en entreprise on ne doit absolument pas pouvoir installer de logiciel sans passer par le service informatique. Déjà que j’ai toujours pensé qu’un OS qui permet l’installation d’un logiciel sans au moins devoir saisir au clavier le login et le mot de passe administrateur (et verrouiller les droits administrateur une fois la chose faites) est une grosse merde mais en entreprise de nos jours ce n’est plus une faille c’est un grand canyon de sécurité.
2 « J'aime »
On peut espérer que ce renforcement de l’UAC poussera les développeurs à faire en sorte que leurs applications puissent plus souvent se contenter des droits limités pour être installées et utilisées, ce qui ne fera pas de mal d’un point de vue sécurité…
3 « J'aime »
Un de mes clients me passe un PC. Il y a l’habituel bitlocker, les USB bloqués, 2 couches d’anti-virus, mais aussi aucun répertoire en écriture autre que celui de l’utilisateur. Cela cause beaucoup de soucis pour bosser, et SURTOUT c’est en total contradiction avec les obligations contractuelles de mise à jour des tous les logiciels utilisés en 3 jours max après sortie des patchs alors qu’une validation de mise à jour par l’officier de sécurité prend entre 1 mois et 4 mois, et 1 mois pour packager l’update et 2 à 5 jours pour le push vers le PC. De plus on doit valider notre appli sur différentes cartes graphiques (pour le moment 6 différentes), va en changer sans être admin! 
Bref, on utilise des PCs « persos » et on « se débrouille ». Pas sûr que la sécurité y gagne vraiment. 
La sécurité amène des contraintes et on travaille avec.
C’est bien continuez donc a utiliser des PC « perso » non sécurisé quand l’entreprise aura été piraté ses disques effacés et ses données cryptés pas sur non plus que la fermeture de la boite vous fasse gagner quoi que ce soit.
Et là je ne comprend pas votre problème. Si vous devez entretenir ce PC de votre client comment ce fait-il que vous n’ayez pas les codes admin ?
Si c’est un prêt j’espère bien qu’il est verrouillé et que vous ne pouvez accéder à rien d’autre que les répertoires utilisateurs.
Et je n’ai jamais vu sur un PC pro « deux couches d’anti-virus » cela n’existe pas et n’a rien de professionnel.
1 « J'aime »
Avec tout ça, on peut toujours faire des appli qui s’installent dans \AppData\Local\ sans droits admin ?
C’est une excellente nouvelle point de vue sécurité ET la conformité de l’usage des licences des logiciels. La blague de l’utilisateur qui peut télécharger et installer un soft en douce, ça peut juste représenter un risque de dizaines de millions d’euros selon la taille de l’entreprise. Oui il faut en passer par là pour gérer ses risques sans oublier de la communication et de l’éducation auprès des utilisateurs.
2 « J'aime »
Toutes les boites ne gèrent pas correctement leur IT, surtout que les contraintes opérationnelles sont totalement opposées au contraintes de sécurité (que je comprends), voir aux contraintes budgétaires (c’est surement aussi pour cela que la réactivité IT est si pourrie: niveau 1 et niveau 2 offshore, service de sécurité totalement débordé).
Bon c’est surtout bête d’accepter des contrats que l’on sait à l’avance ne pas pourvoir honorer correctement, mais il faut bien bouffer…
Bon, et soit je suis maso soit trop casanier mais j’ai bien fait une vingtaine de contrats à mon actif avec ce client, et c’est de loin le pire, on s’habitue à tout.
Pour les 2 couches, il y a Defender + McAfee.
TRES bonne question! Je te donne le téléphone de l’IT et tu négocies? Merci d’avance et bonne chance.
En fait c’est simple, il n’y a qu’une config standardisée car « pas besoin de plus » et effectivement pour de la bureautique, ça roule. Mais quand ils ont besoin de choses particulières ils externalisent mais les règles (et les machines) sont les mêmes pour une secrétaire intérimaire ou pour faire du développement et des études avec de la simulation numérique complexe!
On ne fait pas n’importe quoi non plus, le PCs ne sont pas sur réseau sauf pour les mises à jour, et on valide chaque mise à jour (il n’y en a pas tans que ça: windows SDK, diverses librairies, env de dev, compilos, algos et règles métier).
De toute façon il nous faut des machines bien plus puissantes que celles fournies, va faire des simulations numériques de plusieurs jours sur des PCs portables pas trop performants qui throttlent au bout de 10 minutes, passent en veille même avec un dongle « activité souris » sans que l’on sache trop pourquoi (économies d’énergie obligatoires, c’est aussi corporate, on ne peut rien faire) et qui font des reboots automatiques tous les 2 jours (au cas ou il y aurait des mises à jour, consigne corporate aussi dixit la hotline!)…
La moitié de notre taf ne peut de toute façon pas être faite sur les machines fournies même si c’est spécifié dans le contrat.
Il y a quelques jours, on discutait avec des spécialistes Airbus pour lesquels on va faire une simulation. Ils se sont marré quand on a lancé devant eu une simulation sur nos portables et que les machines se sont mise à souffler comme des folles, ils pensaient que l’on lançait ça sur Azure, voir un super calculateur!
Certes.
Cependant, Microsoft aurait quand-même pu prévenir avant de sortir son patch qui modifie à ce point le comportement du système. 
Les admins ont du être contents, tiens. 
De plus, les développeurs ont du pain sur la planche, parce que comme c’est indiqué dans l’article il y a un paquet de programmes qui déclenchent parfois une procédure d’install en utilisation classique.
J’ai notamment en mémoire des version d’Office (à partir de la version 2000, mais je ne sais pas si c’est encore le cas pour les plus récentes) qui pouvait installer des fonctionnalités lorsque l’utilisateur les appelaient pour la première fois.
1 « J'aime »