Postes en acc

Le
olive
Bonjour,

Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.

Voici ce qui a déjà été fait :

- Création d'un compte "utilisateur" aux droits limités, et verrouillage
du compte administrateur par mot de passe. (Pour le troll, je ne
comprends pas que Windows ne soit pas configuré ainsi par défaut.)

- Usage exclusif de Firefox, en tentant au maximum de dissimuler les
possibilités de lancer IE. Il me semble, mais ça fait un moment que j'ai
pas vérifié, qu'il est très difficile de désinstaller ce dernier.

- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)

Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé
d'installer Thunderbird dans le répertoire "Mes Documents" de
"utilisateur", et malheureusement, ça marche. Mais c'est sans doute un
moindre mal.

J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.

J'aurai peut-être d'autres questions, mais je vous remercie d'ores et
déjà pour vos éclaircissements.

--
Olivier
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sergio
Le #14386641
olive a pensé très fort :

Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.

Voici ce qui a déjà été fait :


...
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.

J'aurai peut-être d'autres questions, mais je vous remercie d'ores et
déjà pour vos éclaircissements.



Une précaution :
Tu "ghostes" la partition système, et la restaure régulièrement (tous
les matins par exemple). Cosmme ça, en cas de problème, tu repars à
zéro.

Ne pas oublier de mettre à jour ton image de référence à chaque mise à
jour (Windows update, antivirus, Firefox...).


--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Supportez le libre : http://www.framasoft.net/
Eric Rossé
Le #14386631
Le Thu, 23 Aug 2007 18:54:46 +0200 (CEST), olive écrivait:

L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.



Si l'usage se limite à ça, je dirais qu'il serait mieux de
passer sous Linux...
Sous windows, il faudra aller dans les stratégies de sécurité
(gpedit.msc) pour y interdire tout ce qu'on ne veut pas...

J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.



Il faudra aussi penser à la protection physique de la machine
de façon à empêcher l'arrêt brutal de la machine et le boot
sur un support autre que le disque dur.
Sergio
Le #14386611
Le 23/08/2007, Eric Rossé a supposé :

Il faudra aussi penser à la protection physique de la machine
de façon à empêcher l'arrêt brutal de la machine et le boot
sur un support autre que le disque dur.



Enlever le lecteur de CD et de disquette, c'est pas un mal non plus...
Interdire le boot sur clef USB dans le BIOS...

Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les
logiciels Linux sont conçus pour fonctionner en "utilisateur limité",
contrairement à la majorité des logiciels Windows...

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Supportez le libre : http://www.framasoft.net/
Jacques Bratières
Le #14386601
Le Thu, 23 Aug 2007 19:46:59 +0200, Sergio

Le 23/08/2007, Eric Rossé a supposé :

Il faudra aussi penser à la protection physique de la machine
de façon à empêcher l'arrêt brutal de la machine et le boot
sur un support autre que le disque dur.



Enlever le lecteur de CD et de disquette, c'est pas un mal non plus...
Interdire le boot sur clef USB dans le BIOS...

Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les
logiciels Linux sont conçus pour fonctionner en "utilisateur limité",
contrairement à la majorité des logiciels Windows...



Un liveCD linux ?



--
J.Bratières
olive
Le #14386591
Eric Rossé écrivait :

L'usage sera essentiellement bureautique : navigation sur Internet et
utilisation de OpenOffice.org.



Si l'usage se limite à ça, je dirais qu'il serait mieux de passer sous
Linux...



Oui, je sais. Comme tu le vois dans mes en-têtes, je suis linuxien. Le
problème, c'est que je ne sais pas encore si la photocopieuse qui
assurera les impressions du public gère cet OS.

Je dois avouer que j'ai fait un choix conservateur, en demandant Windows
dans le cahier des charges. Mais dans le cadre de l'ouverture d'une
structure "from scratch", j'ai d'autres choses à penser qu'à
l'informatique, malheureusement.

Si je me rends compte que ça merde sérieusement au bout de quelques
semaines, je passe le tout sous Ubuntu, si tous les périphériques sont
compatibles et tant pis pour le prix des licences.

Sous windows, il faudra aller dans les stratégies de sécurité
(gpedit.msc) pour y interdire tout ce qu'on ne veut pas...



J'ai vu ça, en effet. Mais il faudrait que je lise un peu de doc avant
d'oser y toucher. Tu n'aurais pas une URL qui en explique simplement le
fonctionnement ?

J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ;
ce sera sans doute difficile.



Il faudra aussi penser à la protection physique de la machine de façon à
empêcher l'arrêt brutal de la machine et le boot sur un support autre
que le disque dur.



Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous
surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça
se verra forcément.

Merci.

--
Olivier
olive
Le #14386581
Sergio écrivait :

Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les
logiciels Linux sont conçus pour fonctionner en "utilisateur limité",
contrairement à la majorité des logiciels Windows...



Je le sais bien. Dans ce cas là, sous réserve de l'usage des
périphériques, Linux est bien entendu idéal.

--
Olivier
olive
Le #14386571
Sergio écrivait :

Une précaution :
Tu "ghostes" la partition système, et la restaure régulièrement (tous
les matins par exemple). Cosmme ça, en cas de problème, tu repars à
zéro.



(...)

Vraiment pas con, je n'y aurais pas pensé. Je me documente sur la
question. Merci à toi.

--
Olivier
rm
Le #14386561
Le jeudi 23 août 2007 à 18:54, olive a écrit :

Bonjour,



Salut,

Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.

Voici ce qui a déjà été fait :

- Création d'un compte "utilisateur" aux droits limités, et verrouillage
du compte administrateur par mot de passe. (Pour le troll, je ne
comprends pas que Windows ne soit pas configuré ainsi par défaut.)



très bien... faudra bien sûr empècher physiquement les accès au matériel
(surtout aux périph amovibles bootables) autres que le clavier et la
souris. Et restreindre via gpedit.msc l'accès au gestionnaire de tâche

- Usage exclusif de Firefox, en tentant au maximum de dissimuler les
possibilités de lancer IE. Il me semble, mais ça fait un moment que j'ai
pas vérifié, qu'il est très difficile de désinstaller ce dernier.



Un Opera en mode kiosque permet nativement bien plus de restrictions
(interdire téléchargement ou enregistrement, modif de configuration,
d'interface, retour à un état prédéfini après délai d'inativité...) et est
facile à mettre en ½uvre.
D'ailleurs, même si Opera peut-être bloqué en mode plein écran (interdisant
l'accès au bureau, barre de tâche), il serait même envisageable de lancer
le mode kiosque d'Opera directement à la place du shell Windows (remplacer
explorer.exe en valeur Shell de
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon).
Pour lancer les applications voulues (OOo...) il suffira de créer des
boutons sur l'interface d'Opera pour lancer les quelques applis autorisées
(ne pas oublier un p'tit raccourci clavier planqué pour lancer
regedit.exe...). Un filtrage d'url pourra aussi, au besoin, être appliqué
pour restreindre, par exemple, la navigation à seulement quelques domaines,
interdire les sites ftp, les url de type files://, ect...
voir http://www.opera-fr.com/mode-kiosque.php

- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)



franchement facultatif, AMHA, mais bon c'est à la mode...

Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé
d'installer Thunderbird dans le répertoire "Mes Documents" de
"utilisateur", et malheureusement, ça marche. Mais c'est sans doute un
moindre mal.



l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques
exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe et
regedit.exe quand même)

J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.



Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni au
matériel, il lui sera pas aisé de rebooter :D

J'aurai peut-être d'autres questions, mais je vous remercie d'ores et
déjà pour vos éclaircissements.



au plaisir,

@+
--
rm - http://opera-fr.com
rm
Le #14386551
Le jeudi 23 août 2007 à 20:28, olive a écrit :


Il faudra aussi penser à la protection physique de la machine de façon à
empêcher l'arrêt brutal de la machine et le boot sur un support autre
que le disque dur.



Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous
surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça
se verra forcément.



désactiver le boot sur périph amovible via le bios est un minimum... et
protéger le bios par un bon gros mot de passe...

@+
--
rm
olive
Le #14386521
rm écrivait :

(...)

http://www.opera-fr.com/mode-kiosque.php



Ah merci, tu anticipes une de mes questions suivantes. J'ai une machine
qui ne doit permettre que de consulter le catalogue en ligne de la
médiathèque. Ceci répond, à première vue, à mes besoins.


- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)



franchement facultatif, AMHA, mais bon c'est à la mode...



Il faut couvrir ses arrières, hein :)

Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé
d'installer Thunderbird dans le répertoire "Mes Documents" de
"utilisateur", et malheureusement, ça marche. Mais c'est sans doute un
moindre mal.



l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques
exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe
et regedit.exe quand même)



Bien, j'en prends bonne note.

J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ;
ce sera sans doute difficile.



Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni
au matériel, il lui sera pas aisé de rebooter :D



En effet. Bon, l'horizon s'éclaircit largement :)

--
Olivier
Publicité
Poster une réponse
Anonyme