Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
- Création d'un compte "utilisateur" aux droits limités, et verrouillage
du compte administrateur par mot de passe. (Pour le troll, je ne
comprends pas que Windows ne soit pas configuré ainsi par défaut.)
- Usage exclusif de Firefox, en tentant au maximum de dissimuler les
possibilités de lancer IE. Il me semble, mais ça fait un moment que j'ai
pas vérifié, qu'il est très difficile de désinstaller ce dernier.
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé
d'installer Thunderbird dans le répertoire "Mes Documents" de
"utilisateur", et malheureusement, ça marche. Mais c'est sans doute un
moindre mal.
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et
déjà pour vos éclaircissements.
Dans le cadre d'une utilisation d'un parc de machines en accès public (sous XP pro, à jour), en bibliothèque, je suis à la recherche de solutions et de mesures pour en sécuriser au maximum l'utilisation et éviter de me retrouver au bout de trois jours avec des bécanes inutilisables et vérolées. L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
...
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et déjà pour vos éclaircissements.
Une précaution : Tu "ghostes" la partition système, et la restaure régulièrement (tous les matins par exemple). Cosmme ça, en cas de problème, tu repars à zéro.
Ne pas oublier de mettre à jour ton image de référence à chaque mise à jour (Windows update, antivirus, Firefox...).
Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
...
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et
déjà pour vos éclaircissements.
Une précaution :
Tu "ghostes" la partition système, et la restaure régulièrement (tous
les matins par exemple). Cosmme ça, en cas de problème, tu repars à
zéro.
Ne pas oublier de mettre à jour ton image de référence à chaque mise à
jour (Windows update, antivirus, Firefox...).
Dans le cadre d'une utilisation d'un parc de machines en accès public (sous XP pro, à jour), en bibliothèque, je suis à la recherche de solutions et de mesures pour en sécuriser au maximum l'utilisation et éviter de me retrouver au bout de trois jours avec des bécanes inutilisables et vérolées. L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
...
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et déjà pour vos éclaircissements.
Une précaution : Tu "ghostes" la partition système, et la restaure régulièrement (tous les matins par exemple). Cosmme ça, en cas de problème, tu repars à zéro.
Ne pas oublier de mettre à jour ton image de référence à chaque mise à jour (Windows update, antivirus, Firefox...).
Le Thu, 23 Aug 2007 18:54:46 +0200 (CEST), olive écrivait:
L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Si l'usage se limite à ça, je dirais qu'il serait mieux de passer sous Linux... Sous windows, il faudra aller dans les stratégies de sécurité (gpedit.msc) pour y interdire tout ce qu'on ne veut pas...
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Le Thu, 23 Aug 2007 18:54:46 +0200 (CEST), olive écrivait:
L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.
Si l'usage se limite à ça, je dirais qu'il serait mieux de
passer sous Linux...
Sous windows, il faudra aller dans les stratégies de sécurité
(gpedit.msc) pour y interdire tout ce qu'on ne veut pas...
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.
Il faudra aussi penser à la protection physique de la machine
de façon à empêcher l'arrêt brutal de la machine et le boot
sur un support autre que le disque dur.
Le Thu, 23 Aug 2007 18:54:46 +0200 (CEST), olive écrivait:
L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Si l'usage se limite à ça, je dirais qu'il serait mieux de passer sous Linux... Sous windows, il faudra aller dans les stratégies de sécurité (gpedit.msc) pour y interdire tout ce qu'on ne veut pas...
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Sergio
Le 23/08/2007, Eric Rossé a supposé :
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Enlever le lecteur de CD et de disquette, c'est pas un mal non plus... Interdire le boot sur clef USB dans le BIOS...
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les logiciels Linux sont conçus pour fonctionner en "utilisateur limité", contrairement à la majorité des logiciels Windows...
Il faudra aussi penser à la protection physique de la machine
de façon à empêcher l'arrêt brutal de la machine et le boot
sur un support autre que le disque dur.
Enlever le lecteur de CD et de disquette, c'est pas un mal non plus...
Interdire le boot sur clef USB dans le BIOS...
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les
logiciels Linux sont conçus pour fonctionner en "utilisateur limité",
contrairement à la majorité des logiciels Windows...
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Enlever le lecteur de CD et de disquette, c'est pas un mal non plus... Interdire le boot sur clef USB dans le BIOS...
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les logiciels Linux sont conçus pour fonctionner en "utilisateur limité", contrairement à la majorité des logiciels Windows...
Le Thu, 23 Aug 2007 19:46:59 +0200, Sergio a écrit:
Le 23/08/2007, Eric Rossé a supposé :
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Enlever le lecteur de CD et de disquette, c'est pas un mal non plus... Interdire le boot sur clef USB dans le BIOS...
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les logiciels Linux sont conçus pour fonctionner en "utilisateur limité", contrairement à la majorité des logiciels Windows...
Un liveCD linux ?
-- J.Bratières
Le Thu, 23 Aug 2007 19:46:59 +0200, Sergio
<laposte@serge.delbono.net.invalid> a écrit:
Le 23/08/2007, Eric Rossé a supposé :
Il faudra aussi penser à la protection physique de la machine
de façon à empêcher l'arrêt brutal de la machine et le boot
sur un support autre que le disque dur.
Enlever le lecteur de CD et de disquette, c'est pas un mal non plus...
Interdire le boot sur clef USB dans le BIOS...
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les
logiciels Linux sont conçus pour fonctionner en "utilisateur limité",
contrairement à la majorité des logiciels Windows...
Le Thu, 23 Aug 2007 19:46:59 +0200, Sergio a écrit:
Le 23/08/2007, Eric Rossé a supposé :
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Enlever le lecteur de CD et de disquette, c'est pas un mal non plus... Interdire le boot sur clef USB dans le BIOS...
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les logiciels Linux sont conçus pour fonctionner en "utilisateur limité", contrairement à la majorité des logiciels Windows...
Un liveCD linux ?
-- J.Bratières
olive
Eric Rossé écrivait :
L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Si l'usage se limite à ça, je dirais qu'il serait mieux de passer sous Linux...
Oui, je sais. Comme tu le vois dans mes en-têtes, je suis linuxien. Le problème, c'est que je ne sais pas encore si la photocopieuse qui assurera les impressions du public gère cet OS.
Je dois avouer que j'ai fait un choix conservateur, en demandant Windows dans le cahier des charges. Mais dans le cadre de l'ouverture d'une structure "from scratch", j'ai d'autres choses à penser qu'à l'informatique, malheureusement.
Si je me rends compte que ça merde sérieusement au bout de quelques semaines, je passe le tout sous Ubuntu, si tous les périphériques sont compatibles et tant pis pour le prix des licences.
Sous windows, il faudra aller dans les stratégies de sécurité (gpedit.msc) pour y interdire tout ce qu'on ne veut pas...
J'ai vu ça, en effet. Mais il faudrait que je lise un peu de doc avant d'oser y toucher. Tu n'aurais pas une URL qui en explique simplement le fonctionnement ?
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça se verra forcément.
Merci.
-- Olivier
Eric Rossé écrivait :
L'usage sera essentiellement bureautique : navigation sur Internet et
utilisation de OpenOffice.org.
Si l'usage se limite à ça, je dirais qu'il serait mieux de passer sous
Linux...
Oui, je sais. Comme tu le vois dans mes en-têtes, je suis linuxien. Le
problème, c'est que je ne sais pas encore si la photocopieuse qui
assurera les impressions du public gère cet OS.
Je dois avouer que j'ai fait un choix conservateur, en demandant Windows
dans le cahier des charges. Mais dans le cadre de l'ouverture d'une
structure "from scratch", j'ai d'autres choses à penser qu'à
l'informatique, malheureusement.
Si je me rends compte que ça merde sérieusement au bout de quelques
semaines, je passe le tout sous Ubuntu, si tous les périphériques sont
compatibles et tant pis pour le prix des licences.
Sous windows, il faudra aller dans les stratégies de sécurité
(gpedit.msc) pour y interdire tout ce qu'on ne veut pas...
J'ai vu ça, en effet. Mais il faudrait que je lise un peu de doc avant
d'oser y toucher. Tu n'aurais pas une URL qui en explique simplement le
fonctionnement ?
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ;
ce sera sans doute difficile.
Il faudra aussi penser à la protection physique de la machine de façon à
empêcher l'arrêt brutal de la machine et le boot sur un support autre
que le disque dur.
Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous
surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça
se verra forcément.
L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Si l'usage se limite à ça, je dirais qu'il serait mieux de passer sous Linux...
Oui, je sais. Comme tu le vois dans mes en-têtes, je suis linuxien. Le problème, c'est que je ne sais pas encore si la photocopieuse qui assurera les impressions du public gère cet OS.
Je dois avouer que j'ai fait un choix conservateur, en demandant Windows dans le cahier des charges. Mais dans le cadre de l'ouverture d'une structure "from scratch", j'ai d'autres choses à penser qu'à l'informatique, malheureusement.
Si je me rends compte que ça merde sérieusement au bout de quelques semaines, je passe le tout sous Ubuntu, si tous les périphériques sont compatibles et tant pis pour le prix des licences.
Sous windows, il faudra aller dans les stratégies de sécurité (gpedit.msc) pour y interdire tout ce qu'on ne veut pas...
J'ai vu ça, en effet. Mais il faudrait que je lise un peu de doc avant d'oser y toucher. Tu n'aurais pas une URL qui en explique simplement le fonctionnement ?
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça se verra forcément.
Merci.
-- Olivier
olive
Sergio écrivait :
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les logiciels Linux sont conçus pour fonctionner en "utilisateur limité", contrairement à la majorité des logiciels Windows...
Je le sais bien. Dans ce cas là, sous réserve de l'usage des périphériques, Linux est bien entendu idéal.
-- Olivier
Sergio écrivait :
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les
logiciels Linux sont conçus pour fonctionner en "utilisateur limité",
contrairement à la majorité des logiciels Windows...
Je le sais bien. Dans ce cas là, sous réserve de l'usage des
périphériques, Linux est bien entendu idéal.
Sinon, l'idée Linux, c'est pas un mal non plus. Surtout que les logiciels Linux sont conçus pour fonctionner en "utilisateur limité", contrairement à la majorité des logiciels Windows...
Je le sais bien. Dans ce cas là, sous réserve de l'usage des périphériques, Linux est bien entendu idéal.
-- Olivier
olive
Sergio écrivait :
Une précaution : Tu "ghostes" la partition système, et la restaure régulièrement (tous les matins par exemple). Cosmme ça, en cas de problème, tu repars à zéro.
(...)
Vraiment pas con, je n'y aurais pas pensé. Je me documente sur la question. Merci à toi.
-- Olivier
Sergio écrivait :
Une précaution :
Tu "ghostes" la partition système, et la restaure régulièrement (tous
les matins par exemple). Cosmme ça, en cas de problème, tu repars à
zéro.
(...)
Vraiment pas con, je n'y aurais pas pensé. Je me documente sur la
question. Merci à toi.
Une précaution : Tu "ghostes" la partition système, et la restaure régulièrement (tous les matins par exemple). Cosmme ça, en cas de problème, tu repars à zéro.
(...)
Vraiment pas con, je n'y aurais pas pensé. Je me documente sur la question. Merci à toi.
-- Olivier
rm
Le jeudi 23 août 2007 à 18:54, olive a écrit :
Bonjour,
Salut,
Dans le cadre d'une utilisation d'un parc de machines en accès public (sous XP pro, à jour), en bibliothèque, je suis à la recherche de solutions et de mesures pour en sécuriser au maximum l'utilisation et éviter de me retrouver au bout de trois jours avec des bécanes inutilisables et vérolées. L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
- Création d'un compte "utilisateur" aux droits limités, et verrouillage du compte administrateur par mot de passe. (Pour le troll, je ne comprends pas que Windows ne soit pas configuré ainsi par défaut.)
très bien... faudra bien sûr empècher physiquement les accès au matériel (surtout aux périph amovibles bootables) autres que le clavier et la souris. Et restreindre via gpedit.msc l'accès au gestionnaire de tâche
- Usage exclusif de Firefox, en tentant au maximum de dissimuler les possibilités de lancer IE. Il me semble, mais ça fait un moment que j'ai pas vérifié, qu'il est très difficile de désinstaller ce dernier.
Un Opera en mode kiosque permet nativement bien plus de restrictions (interdire téléchargement ou enregistrement, modif de configuration, d'interface, retour à un état prédéfini après délai d'inativité...) et est facile à mettre en ½uvre. D'ailleurs, même si Opera peut-être bloqué en mode plein écran (interdisant l'accès au bureau, barre de tâche), il serait même envisageable de lancer le mode kiosque d'Opera directement à la place du shell Windows (remplacer explorer.exe en valeur Shell de HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon). Pour lancer les applications voulues (OOo...) il suffira de créer des boutons sur l'interface d'Opera pour lancer les quelques applis autorisées (ne pas oublier un p'tit raccourci clavier planqué pour lancer regedit.exe...). Un filtrage d'url pourra aussi, au besoin, être appliqué pour restreindre, par exemple, la navigation à seulement quelques domaines, interdire les sites ftp, les url de type files://, ect... voir http://www.opera-fr.com/mode-kiosque.php
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
franchement facultatif, AMHA, mais bon c'est à la mode...
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé d'installer Thunderbird dans le répertoire "Mes Documents" de "utilisateur", et malheureusement, ça marche. Mais c'est sans doute un moindre mal.
l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe et regedit.exe quand même)
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni au matériel, il lui sera pas aisé de rebooter :D
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et déjà pour vos éclaircissements.
au plaisir,
@+ -- rm - http://opera-fr.com
Le jeudi 23 août 2007 à 18:54, olive a écrit :
Bonjour,
Salut,
Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
- Création d'un compte "utilisateur" aux droits limités, et verrouillage
du compte administrateur par mot de passe. (Pour le troll, je ne
comprends pas que Windows ne soit pas configuré ainsi par défaut.)
très bien... faudra bien sûr empècher physiquement les accès au matériel
(surtout aux périph amovibles bootables) autres que le clavier et la
souris. Et restreindre via gpedit.msc l'accès au gestionnaire de tâche
- Usage exclusif de Firefox, en tentant au maximum de dissimuler les
possibilités de lancer IE. Il me semble, mais ça fait un moment que j'ai
pas vérifié, qu'il est très difficile de désinstaller ce dernier.
Un Opera en mode kiosque permet nativement bien plus de restrictions
(interdire téléchargement ou enregistrement, modif de configuration,
d'interface, retour à un état prédéfini après délai d'inativité...) et est
facile à mettre en ½uvre.
D'ailleurs, même si Opera peut-être bloqué en mode plein écran (interdisant
l'accès au bureau, barre de tâche), il serait même envisageable de lancer
le mode kiosque d'Opera directement à la place du shell Windows (remplacer
explorer.exe en valeur Shell de
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon).
Pour lancer les applications voulues (OOo...) il suffira de créer des
boutons sur l'interface d'Opera pour lancer les quelques applis autorisées
(ne pas oublier un p'tit raccourci clavier planqué pour lancer
regedit.exe...). Un filtrage d'url pourra aussi, au besoin, être appliqué
pour restreindre, par exemple, la navigation à seulement quelques domaines,
interdire les sites ftp, les url de type files://, ect...
voir http://www.opera-fr.com/mode-kiosque.php
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
franchement facultatif, AMHA, mais bon c'est à la mode...
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé
d'installer Thunderbird dans le répertoire "Mes Documents" de
"utilisateur", et malheureusement, ça marche. Mais c'est sans doute un
moindre mal.
l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques
exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe et
regedit.exe quand même)
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.
Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni au
matériel, il lui sera pas aisé de rebooter :D
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et
déjà pour vos éclaircissements.
Dans le cadre d'une utilisation d'un parc de machines en accès public (sous XP pro, à jour), en bibliothèque, je suis à la recherche de solutions et de mesures pour en sécuriser au maximum l'utilisation et éviter de me retrouver au bout de trois jours avec des bécanes inutilisables et vérolées. L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
- Création d'un compte "utilisateur" aux droits limités, et verrouillage du compte administrateur par mot de passe. (Pour le troll, je ne comprends pas que Windows ne soit pas configuré ainsi par défaut.)
très bien... faudra bien sûr empècher physiquement les accès au matériel (surtout aux périph amovibles bootables) autres que le clavier et la souris. Et restreindre via gpedit.msc l'accès au gestionnaire de tâche
- Usage exclusif de Firefox, en tentant au maximum de dissimuler les possibilités de lancer IE. Il me semble, mais ça fait un moment que j'ai pas vérifié, qu'il est très difficile de désinstaller ce dernier.
Un Opera en mode kiosque permet nativement bien plus de restrictions (interdire téléchargement ou enregistrement, modif de configuration, d'interface, retour à un état prédéfini après délai d'inativité...) et est facile à mettre en ½uvre. D'ailleurs, même si Opera peut-être bloqué en mode plein écran (interdisant l'accès au bureau, barre de tâche), il serait même envisageable de lancer le mode kiosque d'Opera directement à la place du shell Windows (remplacer explorer.exe en valeur Shell de HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon). Pour lancer les applications voulues (OOo...) il suffira de créer des boutons sur l'interface d'Opera pour lancer les quelques applis autorisées (ne pas oublier un p'tit raccourci clavier planqué pour lancer regedit.exe...). Un filtrage d'url pourra aussi, au besoin, être appliqué pour restreindre, par exemple, la navigation à seulement quelques domaines, interdire les sites ftp, les url de type files://, ect... voir http://www.opera-fr.com/mode-kiosque.php
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
franchement facultatif, AMHA, mais bon c'est à la mode...
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé d'installer Thunderbird dans le répertoire "Mes Documents" de "utilisateur", et malheureusement, ça marche. Mais c'est sans doute un moindre mal.
l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe et regedit.exe quand même)
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni au matériel, il lui sera pas aisé de rebooter :D
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et déjà pour vos éclaircissements.
au plaisir,
@+ -- rm - http://opera-fr.com
rm
Le jeudi 23 août 2007 à 20:28, olive a écrit :
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça se verra forcément.
désactiver le boot sur périph amovible via le bios est un minimum... et protéger le bios par un bon gros mot de passe...
@+ -- rm
Le jeudi 23 août 2007 à 20:28, olive a écrit :
Il faudra aussi penser à la protection physique de la machine de façon à
empêcher l'arrêt brutal de la machine et le boot sur un support autre
que le disque dur.
Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous
surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça
se verra forcément.
désactiver le boot sur périph amovible via le bios est un minimum... et
protéger le bios par un bon gros mot de passe...
Il faudra aussi penser à la protection physique de la machine de façon à empêcher l'arrêt brutal de la machine et le boot sur un support autre que le disque dur.
Ce n'est plus possible. Mais bon, les utilisateurs seront quand même sous surveillance visuelle en permanence. Si quelqu'un s'amuse à rebooter, ça se verra forcément.
désactiver le boot sur périph amovible via le bios est un minimum... et protéger le bios par un bon gros mot de passe...
@+ -- rm
olive
rm écrivait :
(...)
http://www.opera-fr.com/mode-kiosque.php
Ah merci, tu anticipes une de mes questions suivantes. J'ai une machine qui ne doit permettre que de consulter le catalogue en ligne de la médiathèque. Ceci répond, à première vue, à mes besoins.
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
franchement facultatif, AMHA, mais bon c'est à la mode...
Il faut couvrir ses arrières, hein :)
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé d'installer Thunderbird dans le répertoire "Mes Documents" de "utilisateur", et malheureusement, ça marche. Mais c'est sans doute un moindre mal.
l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe et regedit.exe quand même)
Bien, j'en prends bonne note.
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni au matériel, il lui sera pas aisé de rebooter :D
En effet. Bon, l'horizon s'éclaircit largement :)
-- Olivier
rm écrivait :
(...)
http://www.opera-fr.com/mode-kiosque.php
Ah merci, tu anticipes une de mes questions suivantes. J'ai une machine
qui ne doit permettre que de consulter le catalogue en ligne de la
médiathèque. Ceci répond, à première vue, à mes besoins.
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
franchement facultatif, AMHA, mais bon c'est à la mode...
Il faut couvrir ses arrières, hein :)
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé
d'installer Thunderbird dans le répertoire "Mes Documents" de
"utilisateur", et malheureusement, ça marche. Mais c'est sans doute un
moindre mal.
l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques
exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe
et regedit.exe quand même)
Bien, j'en prends bonne note.
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ;
ce sera sans doute difficile.
Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni
au matériel, il lui sera pas aisé de rebooter :D
Ah merci, tu anticipes une de mes questions suivantes. J'ai une machine qui ne doit permettre que de consulter le catalogue en ligne de la médiathèque. Ceci répond, à première vue, à mes besoins.
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
franchement facultatif, AMHA, mais bon c'est à la mode...
Il faut couvrir ses arrières, hein :)
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé d'installer Thunderbird dans le répertoire "Mes Documents" de "utilisateur", et malheureusement, ça marche. Mais c'est sans doute un moindre mal.
l'éditeur de "stratégie", gpedit.msc, permet de n'autoriser que quelques exécutables (en plus d'opera.exe et soffice.exe, ne pas omettre mmc.exe et regedit.exe quand même)
Bien, j'en prends bonne note.
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce sera sans doute difficile.
Si l'utilisateur n'a pas accès au shell, ni au gestionnaire de tâche, ni au matériel, il lui sera pas aisé de rebooter :D
