Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows Serveur Active Directory Paramétrage GPO W2k blocage de fonctions

Paramétrage GPO W2k blocage de fonctions

8 réponses
Avatar
Vincent DURAIN
Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les pages HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la station XP SP2 de
la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et là ça ne
fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX supplémentaires à la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement complètement
verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne peut pas être
parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente d'ouvrir un
fichier dont l'extension n'est pas connue, le système demande avec quel
applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir et on voit
tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la fonction "Ouvrir
Avec" ?

Merci pour votre aide.

Cordialement.
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Ludovik DOPIERALA
Je ne sais pas pour ta première question ... par contre pour la faille tu
peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les pages HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la station XP SP2 de
la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et là ça ne
fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX supplémentaires à la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement complètement
verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne peut pas être
parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente d'ouvrir un
fichier dont l'extension n'est pas connue, le système demande avec quel
applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir et on voit
tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la fonction "Ouvrir
Avec" ?

Merci pour votre aide.

Cordialement.





Avatar
Vincent DURAIN
Oui, je l'ai fait dans la GPO, ça marche. Mais si tu fais l'expérience, tu
verras que cette restriction est contournée par l'option "Ouvrir avec", ça
outrepasse la sécurité.

Un exemple simple, tu crée une GPO toute simple où tu verrouilles l'accès à
tes lecteurs.
Tu mets un fichier *.tif dans le rep mes documents et tu l'ouvres.
Par défaut sous XP tu vas utiliser Aperçu des images et Télécopies pour
l'ouvrir.
Tu cliques droit sur l'image et tu tombes sur "Ouvrir avec", ensuite tu
cliques sur "Parcourir" et là, oh miracle, tu vois tout le disque.
Ta sécurité est outrepassée et l'utilisateur peut bricoler partiellement sur
son disque local.
Et ça, je veux absolument l'interdire.

Essaye et dis moi ce que tu en penses...

Cordialement.




"Ludovik DOPIERALA" a écrit
dans le message de
news:
Je ne sais pas pour ta première question ... par contre pour la faille tu
peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les pages HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la station XP
SP2 de


la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et là ça
ne


fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX supplémentaires à la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement
complètement


verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne peut pas
être


parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente d'ouvrir
un


fichier dont l'extension n'est pas connue, le système demande avec quel
applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir et on
voit


tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la fonction
"Ouvrir


Avec" ?

Merci pour votre aide.

Cordialement.







Avatar
Emmanuel Dreux [MS]
Seul le contenu de "Mes documents" est visible, le disque ne peut pas être
parcouru.

De quelle manière est-ce que celà a été bridé?
Par configuration Utilisateursmodèles d'administrationComposants
WindowsExplorateur Windows ?

Si c'est le cas, ces gpo ne s'appliquent qu'à l'explorateur, pas aux autres
applications.
Et donc j'imagine que le problème est le même avec Word, Excel en passant
par le menu ouvrir.
Dans Internet Explorer, est-il possible de taper
c:windowssystem32command.com ?

J'imagine également que n'importe quel gestionnaire de fichier doit
fonctionner ( winfile, Norton Commander....).

Pou restreindre l'accès au disque quelle que soit l'application, il faut
passer par les permissions NTFS et non par un setting d'explorer lui
indiquant de masquer C ou D.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news: %
Oui, je l'ai fait dans la GPO, ça marche. Mais si tu fais l'expérience, tu
verras que cette restriction est contournée par l'option "Ouvrir avec", ça
outrepasse la sécurité.

Un exemple simple, tu crée une GPO toute simple où tu verrouilles l'accès
à
tes lecteurs.
Tu mets un fichier *.tif dans le rep mes documents et tu l'ouvres.
Par défaut sous XP tu vas utiliser Aperçu des images et Télécopies pour
l'ouvrir.
Tu cliques droit sur l'image et tu tombes sur "Ouvrir avec", ensuite tu
cliques sur "Parcourir" et là, oh miracle, tu vois tout le disque.
Ta sécurité est outrepassée et l'utilisateur peut bricoler partiellement
sur
son disque local.
Et ça, je veux absolument l'interdire.

Essaye et dis moi ce que tu en penses...

Cordialement.




"Ludovik DOPIERALA" a écrit
dans le message de
news:
Je ne sais pas pour ta première question ... par contre pour la faille tu
peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les pages
HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la station XP
SP2 de


la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et là ça
ne


fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX supplémentaires à
la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement
complètement


verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne peut pas
être


parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente d'ouvrir
un


fichier dont l'extension n'est pas connue, le système demande avec quel
applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir et on
voit


tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la fonction
"Ouvrir


Avec" ?

Merci pour votre aide.

Cordialement.











Avatar
Vincent DURAIN
Bonjour,

Les utilisateurs n'ont pas accès à l'explorateur. Le problème que je t'ai
cité provient d'applis comme le visualisateur de fax de WXP. Est-ce que tu
as fait le test que je t'ai proposé ?

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le message
de news:
Seul le contenu de "Mes documents" est visible, le disque ne peut pas être
parcouru.

De quelle manière est-ce que celà a été bridé?
Par configuration Utilisateursmodèles d'administrationComposants
WindowsExplorateur Windows ?

Si c'est le cas, ces gpo ne s'appliquent qu'à l'explorateur, pas aux
autres

applications.
Et donc j'imagine que le problème est le même avec Word, Excel en passant
par le menu ouvrir.
Dans Internet Explorer, est-il possible de taper
c:windowssystem32command.com ?

J'imagine également que n'importe quel gestionnaire de fichier doit
fonctionner ( winfile, Norton Commander....).

Pou restreindre l'accès au disque quelle que soit l'application, il faut
passer par les permissions NTFS et non par un setting d'explorer lui
indiquant de masquer C ou D.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news: %
Oui, je l'ai fait dans la GPO, ça marche. Mais si tu fais l'expérience,
tu


verras que cette restriction est contournée par l'option "Ouvrir avec",
ça


outrepasse la sécurité.

Un exemple simple, tu crée une GPO toute simple où tu verrouilles
l'accès


à
tes lecteurs.
Tu mets un fichier *.tif dans le rep mes documents et tu l'ouvres.
Par défaut sous XP tu vas utiliser Aperçu des images et Télécopies pour
l'ouvrir.
Tu cliques droit sur l'image et tu tombes sur "Ouvrir avec", ensuite tu
cliques sur "Parcourir" et là, oh miracle, tu vois tout le disque.
Ta sécurité est outrepassée et l'utilisateur peut bricoler partiellement
sur
son disque local.
Et ça, je veux absolument l'interdire.

Essaye et dis moi ce que tu en penses...

Cordialement.




"Ludovik DOPIERALA" a écrit
dans le message de
news:
Je ne sais pas pour ta première question ... par contre pour la faille
tu



peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les pages
HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la station XP
SP2 de


la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et là
ça




ne
fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX supplémentaires à
la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement
complètement


verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne peut
pas




être
parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente
d'ouvrir




un
fichier dont l'extension n'est pas connue, le système demande avec
quel




applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir et
on




voit
tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la fonction
"Ouvrir


Avec" ?

Merci pour votre aide.

Cordialement.















Avatar
Emmanuel Dreux [MS]
D'où ma question, comment as-tu "bridé", quelle GPO as-tu déployé?

Je pense que tu a déployé une gpo qui bride l'explorer et uniquement
l'explorer.

"Vincent DURAIN" a écrit dans le message de
news: %
Bonjour,

Les utilisateurs n'ont pas accès à l'explorateur. Le problème que je t'ai
cité provient d'applis comme le visualisateur de fax de WXP. Est-ce que tu
as fait le test que je t'ai proposé ?

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Seul le contenu de "Mes documents" est visible, le disque ne peut pas
être
parcouru.

De quelle manière est-ce que celà a été bridé?
Par configuration Utilisateursmodèles d'administrationComposants
WindowsExplorateur Windows ?

Si c'est le cas, ces gpo ne s'appliquent qu'à l'explorateur, pas aux
autres

applications.
Et donc j'imagine que le problème est le même avec Word, Excel en passant
par le menu ouvrir.
Dans Internet Explorer, est-il possible de taper
c:windowssystem32command.com ?

J'imagine également que n'importe quel gestionnaire de fichier doit
fonctionner ( winfile, Norton Commander....).

Pou restreindre l'accès au disque quelle que soit l'application, il faut
passer par les permissions NTFS et non par un setting d'explorer lui
indiquant de masquer C ou D.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news: %
Oui, je l'ai fait dans la GPO, ça marche. Mais si tu fais l'expérience,
tu


verras que cette restriction est contournée par l'option "Ouvrir avec",
ça


outrepasse la sécurité.

Un exemple simple, tu crée une GPO toute simple où tu verrouilles
l'accès


à
tes lecteurs.
Tu mets un fichier *.tif dans le rep mes documents et tu l'ouvres.
Par défaut sous XP tu vas utiliser Aperçu des images et Télécopies pour
l'ouvrir.
Tu cliques droit sur l'image et tu tombes sur "Ouvrir avec", ensuite tu
cliques sur "Parcourir" et là, oh miracle, tu vois tout le disque.
Ta sécurité est outrepassée et l'utilisateur peut bricoler
partiellement
sur
son disque local.
Et ça, je veux absolument l'interdire.

Essaye et dis moi ce que tu en penses...

Cordialement.




"Ludovik DOPIERALA" a
écrit
dans le message de
news:
Je ne sais pas pour ta première question ... par contre pour la faille
tu



peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les pages
HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la station
XP
SP2 de


la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai
besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et là
ça




ne
fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX supplémentaires
à
la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement
complètement


verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne peut
pas




être
parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente
d'ouvrir




un
fichier dont l'extension n'est pas connue, le système demande avec
quel




applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir et
on




voit
tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la fonction
"Ouvrir


Avec" ?

Merci pour votre aide.

Cordialement.



















Avatar
Vincent DURAIN
J'ai utilisé entre autre la gpo que tu as cité précédemment.

Au niveau des droits NTFS, j'ai essayé de faire des modifs de permissions,
mais ça m'a mis la pagaille sur le disque.

Penses tu que je devrais plutôt m'orienter la dessus ? Et si oui, as tu des
indications à me fournir ?

Merci.

"Emmanuel Dreux [MS]" a écrit dans le message
de news:%
D'où ma question, comment as-tu "bridé", quelle GPO as-tu déployé?

Je pense que tu a déployé une gpo qui bride l'explorer et uniquement
l'explorer.

"Vincent DURAIN" a écrit dans le message de
news: %
Bonjour,

Les utilisateurs n'ont pas accès à l'explorateur. Le problème que je
t'ai


cité provient d'applis comme le visualisateur de fax de WXP. Est-ce que
tu


as fait le test que je t'ai proposé ?

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Seul le contenu de "Mes documents" est visible, le disque ne peut pas
être
parcouru.

De quelle manière est-ce que celà a été bridé?
Par configuration Utilisateursmodèles d'administrationComposants
WindowsExplorateur Windows ?

Si c'est le cas, ces gpo ne s'appliquent qu'à l'explorateur, pas aux
autres

applications.
Et donc j'imagine que le problème est le même avec Word, Excel en
passant



par le menu ouvrir.
Dans Internet Explorer, est-il possible de taper
c:windowssystem32command.com ?

J'imagine également que n'importe quel gestionnaire de fichier doit
fonctionner ( winfile, Norton Commander....).

Pou restreindre l'accès au disque quelle que soit l'application, il
faut



passer par les permissions NTFS et non par un setting d'explorer lui
indiquant de masquer C ou D.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news: %
Oui, je l'ai fait dans la GPO, ça marche. Mais si tu fais
l'expérience,




tu
verras que cette restriction est contournée par l'option "Ouvrir
avec",




ça
outrepasse la sécurité.

Un exemple simple, tu crée une GPO toute simple où tu verrouilles
l'accès


à
tes lecteurs.
Tu mets un fichier *.tif dans le rep mes documents et tu l'ouvres.
Par défaut sous XP tu vas utiliser Aperçu des images et Télécopies
pour




l'ouvrir.
Tu cliques droit sur l'image et tu tombes sur "Ouvrir avec", ensuite
tu




cliques sur "Parcourir" et là, oh miracle, tu vois tout le disque.
Ta sécurité est outrepassée et l'utilisateur peut bricoler
partiellement
sur
son disque local.
Et ça, je veux absolument l'interdire.

Essaye et dis moi ce que tu en penses...

Cordialement.




"Ludovik DOPIERALA" a
écrit
dans le message de
news:
Je ne sais pas pour ta première question ... par contre pour la
faille





tu
peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les pages
HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la station
XP
SP2 de


la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai
besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et







ça
ne
fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX
supplémentaires






à
la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement
complètement


verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne
peut






pas
être
parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente
d'ouvrir




un
fichier dont l'extension n'est pas connue, le système demande avec
quel




applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir
et






on
voit
tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la
fonction






"Ouvrir
Avec" ?

Merci pour votre aide.

Cordialement.























Avatar
Emmanuel Dreux [MS]
Ok,
a priori, tu as donc simplement déployé une gpo qui cache les lecteurs dans
explorer ( cf clé de registre nodrives ).
N'importe quelle autre application qui présente une boite de dialogue de
sélection de fichiers ( menu fichier -> ouvrir ) aura accès à l'ensemble du
disque.

Si tu veux restreindre l'accès, oui, il faut utiliser les permissions NTFS.
Et oui effectivement ça peut facilement mettre la pagaille :-)

Pour t'aider dans cette démarche, voici quelques conseils et liens.
1. utilise les templates de sécurité pour définir et appliquer tes
permissions, tu pourras ensuite les importer dans une gpo et le déployer.
2. Crée un utilisateur de test et place le dans un groupe de test.
3. restreint l'accès à ce groupe.

Tu pourras revenir en arrière éventuellement en réappliquant les templates
de sécurité par défaut ( ex baseline) .

Voici quelques liens utiles:

http://www.microsoft.com/technet/security/prodtech/windows2000/win2khg/05sconfg.mspx
La section securing the File system donne des recommandations.

Dans le "Shared Computer Toolkit for Windows XP", il y a une partie du
toolkit qui restreint les permissions aux fichiers et répertoires pour des
ordinateurs publics.
Je ne l'ai pas testé, mais tu peux essayer de t'inspirer des restrictions
que celà met en place.
http://www.microsoft.com/windowsxp/sharedaccess/overview.mspx

Il doit également y avoir des white paper du type hardening terminal
servers... qui donnent des indications utilies sur la façon de restreindre
les permissons ntfs.

--
Cordialement,

Emanuel Dreux.



"Vincent DURAIN" a écrit dans le message de
news: %
J'ai utilisé entre autre la gpo que tu as cité précédemment.

Au niveau des droits NTFS, j'ai essayé de faire des modifs de permissions,
mais ça m'a mis la pagaille sur le disque.

Penses tu que je devrais plutôt m'orienter la dessus ? Et si oui, as tu
des
indications à me fournir ?

Merci.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:%
D'où ma question, comment as-tu "bridé", quelle GPO as-tu déployé?

Je pense que tu a déployé une gpo qui bride l'explorer et uniquement
l'explorer.

"Vincent DURAIN" a écrit dans le message de
news: %
Bonjour,

Les utilisateurs n'ont pas accès à l'explorateur. Le problème que je
t'ai


cité provient d'applis comme le visualisateur de fax de WXP. Est-ce que
tu


as fait le test que je t'ai proposé ?

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Seul le contenu de "Mes documents" est visible, le disque ne peut pas
être
parcouru.

De quelle manière est-ce que celà a été bridé?
Par configuration Utilisateursmodèles d'administrationComposants
WindowsExplorateur Windows ?

Si c'est le cas, ces gpo ne s'appliquent qu'à l'explorateur, pas aux
autres

applications.
Et donc j'imagine que le problème est le même avec Word, Excel en
passant



par le menu ouvrir.
Dans Internet Explorer, est-il possible de taper
c:windowssystem32command.com ?

J'imagine également que n'importe quel gestionnaire de fichier doit
fonctionner ( winfile, Norton Commander....).

Pou restreindre l'accès au disque quelle que soit l'application, il
faut



passer par les permissions NTFS et non par un setting d'explorer lui
indiquant de masquer C ou D.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message
de
news: %
Oui, je l'ai fait dans la GPO, ça marche. Mais si tu fais
l'expérience,




tu
verras que cette restriction est contournée par l'option "Ouvrir
avec",




ça
outrepasse la sécurité.

Un exemple simple, tu crée une GPO toute simple où tu verrouilles
l'accès


à
tes lecteurs.
Tu mets un fichier *.tif dans le rep mes documents et tu l'ouvres.
Par défaut sous XP tu vas utiliser Aperçu des images et Télécopies
pour




l'ouvrir.
Tu cliques droit sur l'image et tu tombes sur "Ouvrir avec", ensuite
tu




cliques sur "Parcourir" et là, oh miracle, tu vois tout le disque.
Ta sécurité est outrepassée et l'utilisateur peut bricoler
partiellement
sur
son disque local.
Et ça, je veux absolument l'interdire.

Essaye et dis moi ce que tu en penses...

Cordialement.




"Ludovik DOPIERALA" a
écrit
dans le message de
news:
Je ne sais pas pour ta première question ... par contre pour la
faille





tu
peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les
pages
HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la
station
XP
SP2 de


la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les plugins
Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai
besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents et







ça
ne
fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX
supplémentaires






à
la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement
complètement


verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne
peut






pas
être
parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente
d'ouvrir




un
fichier dont l'extension n'est pas connue, le système demande
avec
quel




applicatif l'ouvrir, et là, on peut utiliser le bouton parcourir
et






on
voit
tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la
fonction






"Ouvrir
Avec" ?

Merci pour votre aide.

Cordialement.



























Avatar
Vincent DURAIN
C'est exactement le cas que tu décris, dès qu'une appli tiers propose un
parcourir, on a accès au disque.

Merci beaucoup pour ces infos

Je me documente sur tes liens.

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le message
de news:uoNb$%
Ok,
a priori, tu as donc simplement déployé une gpo qui cache les lecteurs
dans

explorer ( cf clé de registre nodrives ).
N'importe quelle autre application qui présente une boite de dialogue de
sélection de fichiers ( menu fichier -> ouvrir ) aura accès à l'ensemble
du

disque.

Si tu veux restreindre l'accès, oui, il faut utiliser les permissions
NTFS.

Et oui effectivement ça peut facilement mettre la pagaille :-)

Pour t'aider dans cette démarche, voici quelques conseils et liens.
1. utilise les templates de sécurité pour définir et appliquer tes
permissions, tu pourras ensuite les importer dans une gpo et le déployer.
2. Crée un utilisateur de test et place le dans un groupe de test.
3. restreint l'accès à ce groupe.

Tu pourras revenir en arrière éventuellement en réappliquant les templates
de sécurité par défaut ( ex baseline) .

Voici quelques liens utiles:


http://www.microsoft.com/technet/security/prodtech/windows2000/win2khg/05sconfg.mspx

La section securing the File system donne des recommandations.

Dans le "Shared Computer Toolkit for Windows XP", il y a une partie du
toolkit qui restreint les permissions aux fichiers et répertoires pour des
ordinateurs publics.
Je ne l'ai pas testé, mais tu peux essayer de t'inspirer des restrictions
que celà met en place.
http://www.microsoft.com/windowsxp/sharedaccess/overview.mspx

Il doit également y avoir des white paper du type hardening terminal
servers... qui donnent des indications utilies sur la façon de restreindre
les permissons ntfs.

--
Cordialement,

Emanuel Dreux.



"Vincent DURAIN" a écrit dans le message de
news: %
J'ai utilisé entre autre la gpo que tu as cité précédemment.

Au niveau des droits NTFS, j'ai essayé de faire des modifs de
permissions,


mais ça m'a mis la pagaille sur le disque.

Penses tu que je devrais plutôt m'orienter la dessus ? Et si oui, as tu
des
indications à me fournir ?

Merci.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:%
D'où ma question, comment as-tu "bridé", quelle GPO as-tu déployé?

Je pense que tu a déployé une gpo qui bride l'explorer et uniquement
l'explorer.

"Vincent DURAIN" a écrit dans le message de
news: %
Bonjour,

Les utilisateurs n'ont pas accès à l'explorateur. Le problème que je
t'ai


cité provient d'applis comme le visualisateur de fax de WXP. Est-ce
que




tu
as fait le test que je t'ai proposé ?

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Seul le contenu de "Mes documents" est visible, le disque ne peut
pas





être
parcouru.

De quelle manière est-ce que celà a été bridé?
Par configuration Utilisateursmodèles d'administrationComposants
WindowsExplorateur Windows ?

Si c'est le cas, ces gpo ne s'appliquent qu'à l'explorateur, pas aux
autres

applications.
Et donc j'imagine que le problème est le même avec Word, Excel en
passant



par le menu ouvrir.
Dans Internet Explorer, est-il possible de taper
c:windowssystem32command.com ?

J'imagine également que n'importe quel gestionnaire de fichier doit
fonctionner ( winfile, Norton Commander....).

Pou restreindre l'accès au disque quelle que soit l'application, il
faut



passer par les permissions NTFS et non par un setting d'explorer lui
indiquant de masquer C ou D.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message
de
news: %
Oui, je l'ai fait dans la GPO, ça marche. Mais si tu fais
l'expérience,




tu
verras que cette restriction est contournée par l'option "Ouvrir
avec",




ça
outrepasse la sécurité.

Un exemple simple, tu crée une GPO toute simple où tu verrouilles
l'accès


à
tes lecteurs.
Tu mets un fichier *.tif dans le rep mes documents et tu l'ouvres.
Par défaut sous XP tu vas utiliser Aperçu des images et Télécopies
pour




l'ouvrir.
Tu cliques droit sur l'image et tu tombes sur "Ouvrir avec",
ensuite






tu
cliques sur "Parcourir" et là, oh miracle, tu vois tout le disque.
Ta sécurité est outrepassée et l'utilisateur peut bricoler
partiellement
sur
son disque local.
Et ça, je veux absolument l'interdire.

Essaye et dis moi ce que tu en penses...

Cordialement.




"Ludovik DOPIERALA" a
écrit
dans le message de
news:
Je ne sais pas pour ta première question ... par contre pour la
faille





tu
peux empecher l'accès au lecteur c: par exemple
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe




Bonjour,

J'ai deux questions au niveau de la GPO sous W2k :

1°) Je souhaite bloquer la lecture de fichiers vidéo sur les
pages
HTML.
J'ai utilisé la stratégie suivante :

Configuration utilisateur
Modèle d'administration
Composants Windows
Internet explorer
Contrôles approuvés par l'administrateur

Là, j'ai tout bloqué et j'ai configuré le navigateur de la
station
XP
SP2 de


la manière suivante :
Outils
Options
Onglet sécurité
Zone internet
Personnaliser le niveau
Exécuter les contrôles ActiveX et les
plugins








Approuvé par l'administrateur

Dans ce cas, ça fonctionne bien. Le seul problème est que j'ai
besoin
d'autoriser l'active X de ACROBAT pour la lecture de documents
et









ça
ne
fonctionne pas.

Ma question: peut-on ajouter des contrôles activesX
supplémentaires






à
la
liste pré-établie dans la GPO et si oui comment ?

2°) Mes stations de travail XP SP2 sont dans un environnement
complètement


verrouillé :
- Pas d'icones sur le bureau
- Menu pré-établis
- Seul le contenu de "Mes documents" est visible, le disque ne
peut






pas
être
parcouru.

J'ai trouvé une "faille" dans mon environnement : Si on tente
d'ouvrir




un
fichier dont l'extension n'est pas connue, le système demande
avec
quel




applicatif l'ouvrir, et là, on peut utiliser le bouton
parcourir








et
on
voit
tout le disque local.

Ma question : Dans le cas d'une GPO, peut-on désactiver la
fonction






"Ouvrir
Avec" ?

Merci pour votre aide.

Cordialement.