Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.
Voici ce qui a déjà été fait :
- Création d'un compte "utilisateur" aux droits limités, et verrouillage
du compte administrateur par mot de passe. (Pour le troll, je ne
comprends pas que Windows ne soit pas configuré ainsi par défaut.)
- Usage exclusif de Firefox, en tentant au maximum de dissimuler les
possibilités de lancer IE. Il me semble, mais ça fait un moment que j'ai
pas vérifié, qu'il est très difficile de désinstaller ce dernier.
- Abonnement à un antivirus (Je ne me rappelle plus précisément lequel)
Dans l'idéal, j'aimerais interdire tous les exécutables : j'ai essayé
d'installer Thunderbird dans le répertoire "Mes Documents" de
"utilisateur", et malheureusement, ça marche. Mais c'est sans doute un
moindre mal.
J'aimerais aussi pouvoir interdire le reboot sans mot de passe admin ; ce
sera sans doute difficile.
J'aurai peut-être d'autres questions, mais je vous remercie d'ores et
déjà pour vos éclaircissements.
On Thu, 23 Aug 2007 21:29:14 +0200, Nina Popravka wrote:
Y a un truc chez MS qui est prévu pour ça... Je sais plus comment ça s'appelle, j'essaie de retrouver.
Voilà, Windows Steady State. <http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx> C'est gratuit, pas testé perso. -- Nina
rm
Le jeudi 23 août 2007 à 20:54, olive a écrit :
rm écrivait :
(...)
http://www.opera-fr.com/mode-kiosque.php
Ah merci, tu anticipes une de mes questions suivantes. J'ai une machine qui ne doit permettre que de consulter le catalogue en ligne de la médiathèque. Ceci répond, à première vue, à mes besoins.
note que IE7 dispose aussi d'un gestionnaire d'accès qui pourrait répondre à ce besoin et même d'un mode "kiosque" minimaliste... mais bon, je ne veux pas gacher ta découverte d'un navigateur alternatif :-D
@+ -- rm
Le jeudi 23 août 2007 à 20:54, olive a écrit :
rm écrivait :
(...)
http://www.opera-fr.com/mode-kiosque.php
Ah merci, tu anticipes une de mes questions suivantes. J'ai une machine
qui ne doit permettre que de consulter le catalogue en ligne de la
médiathèque. Ceci répond, à première vue, à mes besoins.
note que IE7 dispose aussi d'un gestionnaire d'accès qui pourrait répondre
à ce besoin et même d'un mode "kiosque" minimaliste... mais bon, je ne veux
pas gacher ta découverte d'un navigateur alternatif :-D
Ah merci, tu anticipes une de mes questions suivantes. J'ai une machine qui ne doit permettre que de consulter le catalogue en ligne de la médiathèque. Ceci répond, à première vue, à mes besoins.
note que IE7 dispose aussi d'un gestionnaire d'accès qui pourrait répondre à ce besoin et même d'un mode "kiosque" minimaliste... mais bon, je ne veux pas gacher ta découverte d'un navigateur alternatif :-D
Dans le cadre d'une utilisation d'un parc de machines en accès public
pour moi , le systeme le plus simple est d installer une config de reference propre d en copier l'image en securité quelque part et de restaurer cette image a chaque fois qu il y a le moindre probleme
la machine se retrouve alors dans le meme etat que le premier jour, ainsi on peut ne plus trop s inquieter du bordel qui se developpe, les truc installés par les utilisateurs seront effacés à chaque fois
si toutes les machines sont identique , c'est parfait ...
sinon, de toutes façon, la loi de l emerdement maximum fera son oeuvre
on peut meme imaginer un systeme automatique qui restaure toute les nuit , ainsi chaque matin, l ordi est dans un etat strictement identique au matin de la veille
-- ai ai ai robots ! artificial intelligence ! http://andromedanews.ovh.org/aiaiairobots/
> Bonjour,
Dans le cadre d'une utilisation d'un parc de machines en accès public
pour moi , le systeme le plus simple est d installer une config de
reference propre d en copier l'image en securité quelque part et de
restaurer cette image a chaque fois qu il y a le moindre probleme
la machine se retrouve alors dans le meme etat que le premier jour,
ainsi on peut ne plus trop s inquieter du bordel qui se developpe, les
truc installés par les utilisateurs seront effacés à chaque fois
si toutes les machines sont identique , c'est parfait ...
sinon, de toutes façon, la loi de l emerdement maximum fera son oeuvre
on peut meme imaginer un systeme automatique qui restaure toute les
nuit , ainsi chaque matin, l ordi est dans un etat strictement
identique
au matin de la veille
--
ai ai ai robots ! artificial intelligence !
http://andromedanews.ovh.org/aiaiairobots/
Dans le cadre d'une utilisation d'un parc de machines en accès public
pour moi , le systeme le plus simple est d installer une config de reference propre d en copier l'image en securité quelque part et de restaurer cette image a chaque fois qu il y a le moindre probleme
la machine se retrouve alors dans le meme etat que le premier jour, ainsi on peut ne plus trop s inquieter du bordel qui se developpe, les truc installés par les utilisateurs seront effacés à chaque fois
si toutes les machines sont identique , c'est parfait ...
sinon, de toutes façon, la loi de l emerdement maximum fera son oeuvre
on peut meme imaginer un systeme automatique qui restaure toute les nuit , ainsi chaque matin, l ordi est dans un etat strictement identique au matin de la veille
-- ai ai ai robots ! artificial intelligence ! http://andromedanews.ovh.org/aiaiairobots/
olive
Nina Popravka écrivait :
Je tiens d'abord à remercier l'ensemble des participants à ce fil pour la qualité de leurs interventions.
Y a un truc chez MS qui est prévu pour ça... Je sais plus comment ça s'appelle, j'essaie de retrouver.
Voilà, Windows Steady State. <http://www.microsoft.com/windows/products/winfamily/sharedaccess/
default.mspx>
C'est gratuit, pas testé perso.
J'ai testé la chose aujourd'hui. C'est clairement un produit Microsoft :
- Ça répond globalement aux besoins. - Ça demande 22 certificats et 32 autorisations pour s'installer. - Ça se configure en trois clics. Mais si la configuration s'était faite à l'aide d'un bulldozer, on serait peut être arrivé à un truc plus fin. - Ça bouffe énormément de ressources machine pour les services que ça rend.
Plus sérieusement, c'est le soft qu'il me faut : l'utilisateur n'a pas le droit d'écrire sur le disque (seulement sur des périphs amovibles), la configuration initiale est sauvée sur un espace disque (équivalent de ghost, je pense) et on démarre toujours dans la même image disque. L'utilisateur "Administrateur" est caché, et l'accès au "login" est bien planqué.
Et effectivement, ça ralentit les machines au démarrage.
Bref, j'ai joué à l'admin fasciste *et* paranoïaque. De fait, on ne peut plus faire grand-chose de ces bécanes, mais encore juste ce qu'il faut pour ce pour quoi elles ont été prévues.
Je vous tiendrai au courant, si vous le voulez bien, de leur évolution après quelques jours/semaines de contact avec le grand méchant public.
-- Olivier
Nina Popravka écrivait :
Je tiens d'abord à remercier l'ensemble des participants à ce fil pour la
qualité de leurs interventions.
Y a un truc chez MS qui est prévu pour ça... Je sais plus comment ça
s'appelle, j'essaie de retrouver.
Voilà, Windows Steady State.
<http://www.microsoft.com/windows/products/winfamily/sharedaccess/
default.mspx>
C'est gratuit, pas testé perso.
J'ai testé la chose aujourd'hui. C'est clairement un produit Microsoft :
- Ça répond globalement aux besoins.
- Ça demande 22 certificats et 32 autorisations pour s'installer.
- Ça se configure en trois clics. Mais si la configuration s'était faite
à l'aide d'un bulldozer, on serait peut être arrivé à un truc plus fin.
- Ça bouffe énormément de ressources machine pour les services que ça
rend.
Plus sérieusement, c'est le soft qu'il me faut : l'utilisateur n'a pas le
droit d'écrire sur le disque (seulement sur des périphs amovibles), la
configuration initiale est sauvée sur un espace disque (équivalent de
ghost, je pense) et on démarre toujours dans la même image disque.
L'utilisateur "Administrateur" est caché, et l'accès au "login" est bien
planqué.
Et effectivement, ça ralentit les machines au démarrage.
Bref, j'ai joué à l'admin fasciste *et* paranoïaque. De fait, on ne peut
plus faire grand-chose de ces bécanes, mais encore juste ce qu'il faut
pour ce pour quoi elles ont été prévues.
Je vous tiendrai au courant, si vous le voulez bien, de leur évolution
après quelques jours/semaines de contact avec le grand méchant public.
Je tiens d'abord à remercier l'ensemble des participants à ce fil pour la qualité de leurs interventions.
Y a un truc chez MS qui est prévu pour ça... Je sais plus comment ça s'appelle, j'essaie de retrouver.
Voilà, Windows Steady State. <http://www.microsoft.com/windows/products/winfamily/sharedaccess/
default.mspx>
C'est gratuit, pas testé perso.
J'ai testé la chose aujourd'hui. C'est clairement un produit Microsoft :
- Ça répond globalement aux besoins. - Ça demande 22 certificats et 32 autorisations pour s'installer. - Ça se configure en trois clics. Mais si la configuration s'était faite à l'aide d'un bulldozer, on serait peut être arrivé à un truc plus fin. - Ça bouffe énormément de ressources machine pour les services que ça rend.
Plus sérieusement, c'est le soft qu'il me faut : l'utilisateur n'a pas le droit d'écrire sur le disque (seulement sur des périphs amovibles), la configuration initiale est sauvée sur un espace disque (équivalent de ghost, je pense) et on démarre toujours dans la même image disque. L'utilisateur "Administrateur" est caché, et l'accès au "login" est bien planqué.
Et effectivement, ça ralentit les machines au démarrage.
Bref, j'ai joué à l'admin fasciste *et* paranoïaque. De fait, on ne peut plus faire grand-chose de ces bécanes, mais encore juste ce qu'il faut pour ce pour quoi elles ont été prévues.
Je vous tiendrai au courant, si vous le voulez bien, de leur évolution après quelques jours/semaines de contact avec le grand méchant public.
-- Olivier
olive
rm écrivait :
note que IE7 dispose aussi d'un gestionnaire d'accès qui pourrait répondre à ce besoin et même d'un mode "kiosque" minimaliste... mais bon, je ne veux pas gacher ta découverte d'un navigateur alternatif :-D
Re-découverte alors. J'utilisais Opera avant mon passage total sous Linux en 2003.
Bon, j'ai testé ce mode kiosque d'Opéra sur la bécane qui doit servir de catalogue (plein écran, un seul site autorisé, et consultation debout : c'est pratique 5 minutes, mais faire de la configuration debout pendant 2 heures... ). Heureusement que j'aime bien la configuration par fichier texte :)
Résultat : adopté. Merci pour ta doc claire (http://www.opera-fr.com/mode- kiosque.php).
-- Olivier
rm écrivait :
note que IE7 dispose aussi d'un gestionnaire d'accès qui pourrait
répondre à ce besoin et même d'un mode "kiosque" minimaliste... mais
bon, je ne veux pas gacher ta découverte d'un navigateur alternatif :-D
Re-découverte alors. J'utilisais Opera avant mon passage total sous Linux
en 2003.
Bon, j'ai testé ce mode kiosque d'Opéra sur la bécane qui doit servir de
catalogue (plein écran, un seul site autorisé, et consultation debout :
c'est pratique 5 minutes, mais faire de la configuration debout pendant 2
heures... ). Heureusement que j'aime bien la configuration par fichier
texte :)
Résultat : adopté. Merci pour ta doc claire (http://www.opera-fr.com/mode-
kiosque.php).
note que IE7 dispose aussi d'un gestionnaire d'accès qui pourrait répondre à ce besoin et même d'un mode "kiosque" minimaliste... mais bon, je ne veux pas gacher ta découverte d'un navigateur alternatif :-D
Re-découverte alors. J'utilisais Opera avant mon passage total sous Linux en 2003.
Bon, j'ai testé ce mode kiosque d'Opéra sur la bécane qui doit servir de catalogue (plein écran, un seul site autorisé, et consultation debout : c'est pratique 5 minutes, mais faire de la configuration debout pendant 2 heures... ). Heureusement que j'aime bien la configuration par fichier texte :)
Résultat : adopté. Merci pour ta doc claire (http://www.opera-fr.com/mode- kiosque.php).
-- Olivier
Nina Popravka
On Fri, 24 Aug 2007 18:22:03 +0200 (CEST), olive wrote:
J'ai testé la chose aujourd'hui.
Merci pour le compte rendu, depuis le temps que je me dis qu'il faut que je regarde la tête que ça a... :-))))) -- Nina
On Fri, 24 Aug 2007 18:22:03 +0200 (CEST), olive <oloc@alussinan.org>
wrote:
J'ai testé la chose aujourd'hui.
Merci pour le compte rendu, depuis le temps que je me dis qu'il faut
que je regarde la tête que ça a...
:-)))))
--
Nina
On Fri, 24 Aug 2007 18:22:03 +0200 (CEST), olive wrote:
J'ai testé la chose aujourd'hui.
Merci pour le compte rendu, depuis le temps que je me dis qu'il faut que je regarde la tête que ça a... :-))))) -- Nina
Jean-Philippe Odent
Dans l'article , olive écrit:
Dans le cadre d'une utilisation d'un parc de machines en accès public (sous XP pro, à jour), en bibliothèque, je suis à la recherche de solutions et de mesures pour en sécuriser au maximum l'utilisation et éviter de me retrouver au bout de trois jours avec des bécanes inutilisables et vérolées. L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Une solution simple, installe un serveur de domaine (PDC), met toutes tes machines sur le domaine, configure un ou des profil(s) utilisateurs sur le serveur ainsi que leurs paramètres de sécurité et le tour est joué. Plus de machines déconfigurées et/ou des softs indésirables. De plus l'accès aux machines est limité au seuls utilisateur du domaine. La paix durant chaque année scolaire ! :-)
Autre solution bien connue si l'on ne veut pas passer par un domaine : DeepFreeze : remet le système tel qu'il était à l'origine à chaque reboot.
Dans l'article <pan.2007.08.23.16.54.46@alussinan.org>, olive
<oloc@alussinan.org> écrit:
Dans le cadre d'une utilisation d'un parc de machines en accès public
(sous XP pro, à jour), en bibliothèque, je suis à la recherche de
solutions et de mesures pour en sécuriser au maximum l'utilisation et
éviter de me retrouver au bout de trois jours avec des bécanes
inutilisables et vérolées. L'usage sera essentiellement bureautique :
navigation sur Internet et utilisation de OpenOffice.org.
Une solution simple, installe un serveur de domaine (PDC), met toutes tes
machines sur le domaine, configure un ou des profil(s) utilisateurs sur le
serveur ainsi que leurs paramètres de sécurité et le tour est joué. Plus de
machines déconfigurées et/ou des softs indésirables. De plus l'accès aux
machines est limité au seuls utilisateur du domaine. La paix durant chaque année
scolaire ! :-)
Autre solution bien connue si l'on ne veut pas passer par un domaine :
DeepFreeze : remet le système tel qu'il était à l'origine à chaque reboot.
Dans le cadre d'une utilisation d'un parc de machines en accès public (sous XP pro, à jour), en bibliothèque, je suis à la recherche de solutions et de mesures pour en sécuriser au maximum l'utilisation et éviter de me retrouver au bout de trois jours avec des bécanes inutilisables et vérolées. L'usage sera essentiellement bureautique : navigation sur Internet et utilisation de OpenOffice.org.
Une solution simple, installe un serveur de domaine (PDC), met toutes tes machines sur le domaine, configure un ou des profil(s) utilisateurs sur le serveur ainsi que leurs paramètres de sécurité et le tour est joué. Plus de machines déconfigurées et/ou des softs indésirables. De plus l'accès aux machines est limité au seuls utilisateur du domaine. La paix durant chaque année scolaire ! :-)
Autre solution bien connue si l'on ne veut pas passer par un domaine : DeepFreeze : remet le système tel qu'il était à l'origine à chaque reboot.