Windows SteadyState : gérer, protéger et sécuriser des PC

Le par Cédric G.  |  0 commentaire(s)
Public

Si votre famille utilise un seul et même ordinateur, dans quel état se trouve celui-ci au bout de quelques jours d'utilisation seulement ? Le disque dur est remplit de fichiers téléchargés, des options ont été modifiées, de nouveaux programmes ont fait leur apparition, ou votre PC est tout simplement devenu totalement instable ?! Ne parlons même pas des ordinateurs en libre service mis à disposition dans les écoles, mairies ou autres cybercafés... Windows SteadyState, le programme qui remplace Shared Computer Toolkit, est conçu pour simplifier la gestion d'ordinateurs partagés, pour gérer plusieurs utilisateurs, en y appliquant une politique de sécurité personnalisée. Tour d'horizon de cette solution gratuite...

Introduction

Windows SteadyState facilite la configuration et la gestion des ordinateurs pour les administrateurs, et en simplifie et sécurise l’utilisation. Voici les principales fonctionnalités de Windows SteadyState :

  • Prise en main : comprend les étapes initiales et les explications pour vous aider lors de votre première utilisation de Windows SteadyState

  • Protection des disques Windows : permet d'empêcher la modification de la partition Windows qui contient le système d'exploitation Windows et les autres programmes, sans autorisation de l'administrateur

  • Restrictions et paramètres utilisateurs : les restrictions et les paramètres utilisateurs permettent d'améliorer et de simplifier l'expérience de l'utilisateur. L'accès des utilisateurs aux programmes, paramètres, éléments du menu Démarrer et options de Windows XP est restreint. Vous pouvez aussi verrouiller les comptes d'utilisateurs pour empêcher la conservation des modifications d'une session à une autre

  • Administrateur de comptes utilisateurs : créez et supprimez des comptes. Vous pouvez utiliser Windows SteadyState pour créer des comptes utilisateurs sur d'autres lecteurs qui conserveront les données et paramètres des utilisateurs même si la protection des disques Windows est activée. Vous pouvez aussi importer et exporter des paramètres utilisateurs d'un ordinateur vers un autre et économiser des ressources et un temps précieux

  • Restrictions de l'ordinateur : contrôlez les paramètres de sécurité, de confidentialité ou autres, pour empêcher par exemple les utilisateurs de créer et stocker des dossiers sur le disque C et d'ouvrir des documents Microsoft Office à partir d'Internet Explorer

Ces fonctionnalités font de Windows SteadyState un outil idéal dans les situations où un ordinateur est utilisé par plusieurs personnes, comme dans les écoles, bibliothèques publiques, centres communautaires et cybercafés.

Logo SteadyState

Les ordinateurs partagés présentent des problématiques bien spécifiques. Les logiciels actuels sont conçus pour offrir des possibilités de personnalisation. Mais dans le cadre de l'utilisation d'ordinateurs partagés, il n'est généralement pas souhaitable de permettre l'accès à toutes les fonctionnalités de personnalisation et de modification. Windows SteadyState vous aide à protéger les ordinateurs partagés contre les modifications non souhaitées.

Une installation simplifiée

L'avantage de Windows SteadyState réside dans le fait qu'il ne requiert pas de serveur, mais nécessite simplement de posséder une licence originale de Windows XP doté du Service Pack 2 (version Professionnel, Familiale, et Tablet PC). Il convient également de s'assurer que le système de fichier est de type NTFS, et que l'utilisateur qui gère la machine dispose d'un compte Administrateur. A noter que Windows SteadyState ne fonctionne pas avec Windows Vista.


Installation   validation de la copie

  Installation   en cours  
L'installation, très simple, ne prends que quelques minutes à peine.


Notre test a été réalisé sur une machine standard avec Windows XP Professionnel SP2, et nous avons créé deux utilisateurs : Papa et Fiston afin de simuler des conditions réelles d'utilisation. Microsoft préconise également d'installer au préalable vos logiciels, et de finaliser vos paramétrages avant l'installation de SteadyState. A l'issue de l'installation, un service nommé Windows SteadyState Service est créé et consomme environ 4.8 Mo de mémoire vive.


Interface principale
L'interface principale, simple à prendre en main.


Voici les différentes sections que vous retrouverez sur l'interface principale :

  • Configurer les restrictions de l'ordinateur : définir des restrictions globales de l'ordinateur au niveau du système (sélectionnez les options de confidentialité, les restrictions de sécurité et d'autres paramètres pour l'ordinateur partagé)

  • Planifier les mises à jour des logiciels : planifier les mises à jour logicielles et antivirus automatiquement ou manuellement (ajouter des scripts personnalisés qui s'exécutent à intervalles planifiés)

  • Protection du disque dur : activer ou désactiver la protection des disques durs (définir les niveaux de protection pour le disque système)

  • Profils utilisateurs : sélectionner les profils utilisateurs, configurer Windows, les restrictions de fonctionnalités, et bloquer les programmes pour un utilisateur donné (verrouiller ou déverrouiller un profil utilisateur, définir le minuteur de session, modifier les mots de passe, changer l'image du profil utilisateur et supprimer un profil utilisateur)

  • Ajouter un utilisateur : ajouter un utilisateur, créer un nom d'utilisateur, définir les mots de passe et sélectionner où le profil utilisateur est stocké (sélectionner une image pour identifier le profil utilisateur)

  • Exporter l'utilisateur : exporter un profil utilisateur existant (enregistrer un profil utilisateur afin qu'il puisse être déplacé sur un autre ordinateur partagé)

  • Importer l'utilisateur : importer un profil utilisateur existant (importer un profil utilisateur exporté sur un ordinateur partagé sur lequel est installé Windows SteadyState)

  • Support supplémentaire : rechercher des liens vers d'autres ressources pour Windows SteadyState


Paramétrage de Windows SteadyState- partie 1

Le panneau de la configuration des restrictions de l'ordinateur comporte des paramètres explicites, dont :

  • L'interdiction d'écrire sur périphériques de stockage USB (clés, disques durs externes, ...)

  • L'interdiction de créer des dossiers et fichiers sur la partition système : nous recommandons l'usage d'une partition dédiée aux données

Cette partie du logiciel applique des restrictions au niveau de l'ordinateur et les paramétrages seront effectifs quelque soit l'utilisateur qui se connectera.

Restrictions de l\'ordinateur

Windows SteadyState propose également un paramétrage des mises à jour par l'intermédiaire du panneau planifier les mises à jour des logiciels. Ce panneau permet de définir un planning automatisé des mises à jour, mais également de prendre en compte les antivirus, et même la possibilité de créer ses propres scripts de mises à jour pour des applicatifs tiers. Malheureusement, seul un petit nombre d'antivirus est géré par SteadyState car celui-ci ne se base pas sur le centre de sécurité, assez étrange, d'autant que le logiciel nécessite le Service Pack 2...


Planification des mises


Le panneau protéger le disque dur est conçu pour aider à empêcher la modification permanente des paramètres et des données du système sur la partition sur laquelle Windows XP est installé. L'objectif est de créer un environnement uniforme pour tous les utilisateurs. L'environnement de chaque utilisateur qui ouvre une session doit être identique pour tous les utilisateurs et personne ne doit pouvoir modifier ni corrompre le système.

Trois options de protection du disque sont disponibles :
  • Supprimer toutes les modifications au redémarrage : lors du redémarrage du poste, toutes les modifications seront vidées du cache, et aucune modification ne sera prise en compte

  • Conserver temporairement les modifications : la possibilité de conserver les fichiers et les données utilisateur pendant une période définie. Si une personne travaille sur un rapport de stage, il est possible de conserver son travail pendant un laps de temps déterminé

  • Conserver toutes les modifications en permanence : cette option peut s'apparenter au fait de ne pas activer la protection, mais il évite la recréation du cache si l'on sélectionne une autre option

Prot


Si vous désirez protéger le disque dur, un fichier cache sera créé. Sa taille est égale à 50 % de l'espace disque libre. Il est néanmoins possible de modifier la taille du cache (option indisponible si vous activez l'option conserver temporairement les modifications). Il est important de noter que lorsque les utilisateurs travaillent sur un ordinateur partagé, le fichier cache se remplit avec les modifications apportées au système d'exploitation et aux fichiers des programmes. Par conséquent, plus l'utilisateur travaille longtemps et plus le fichier cache grossit.

Modification de la taille du cache

Lorsque vous redémarrez l'ordinateur, connecté avec un compte Administrateur, SteadyState vous questionnera à propos des changements qui ont été apportés.

Confirmation


Paramétrage de Windows SteadyState - partie 2

Nous allons maintenant étudier la plus grosse partie de SteadyState, le paramétrage des utilisateurs. Cette partie de l'interface se compose de 4 onglets :

  • général,
  • restrictions dans Windows,
  • restrictions des fonctionnalités,
  • programmes bloqués.

Param

   Param


Param

  Param


Onglet Général

Cet onglet régit tout ce qui concerne la sécurité d'une session, définition d'un minuteur pour l'inactivité, le temps maximal de travail dans une session, ....


Onglet Restrictions dans Windows

Cet onglet propose d'appliquer une politique de sécurité aux utilisateurs parmi 3 niveaux : élevée, moyenne, et basse. Vous trouverez ici le moyen de protéger le menu Démarrer, mais aussi un certain nombre de fonctionnalités "sensibles", comme la désactivation de l'invite de commande, le menu contextuel, l'accès au registre, mais aussi la possibilité de masquer des lecteurs dans l'explorateur Windows. Fonction très utile, si vous la couplez avec la protection du disque système, ainsi l'utilisateur ne verra que la partition dédiée aux données.


Onglet Restrictions des fonctionnalités

De la même façon que l'onglet précédent, vous pourrez imposer des restrictions applicables à Internet Explorer telles que l'interdiction d'utiliser Internet Explorer (gestion d'une liste blanche), l'interdiction d'imprimer, de cacher des options paramétrables, définir une page d'accueil....


Onglet Programmes bloqués

Une liste des programmes installés sur le poste sera dressée, libre à vous d'interdire l'utilisation de certains d'entre eux, sachant que par défaut tous les programmes sont utilisables.


Tests avec un utilisateur limité

Lors de la connexion avec le compte que nous avions précédemment créé, nous nous apercevons que le bureau de l'utilisateur Fiston a subit un sérieux "lifting". Un cadre en bas à droite nous informe que la durée de notre travail ne pourra excéder 60 minutes, faute de quoi la session sera automatiquement fermée. Le menu Démarrer a, lui aussi, été sécurisé, tandis que le panneau de configuration est désactivé, empêchant ainsi un utilisateur de dérégler le poste.

environnement de travail


Poste de travail
Le disque système C: a disparu conformément à notre paramétrage.


invite de commande d

Restrictions
L'invite de commande est désactivée, et la tentative de lancer un logiciel interdit se solde par un message d'erreur explicite.


Protection des disques
Annulation des modifications effectuées par le compte Fiston lors d'un redémarrage


Conclusion

L'intégration dans un réseau pourvu d'un domaine Active Directory est possible. Windows SteadyState est accompagné d'un modèle de stratégie de groupe (SCTSettings.adm) qui permettra ainsi de restreindre plusieurs comptes d'utilisateurs sur de nombreux ordinateurs de façon centralisée. De nombreux avantages sont liés à l'intégration de SteadyState dans un environnement Active Directory :

  • Création d'un profil obligatoire pour plusieurs utilisateurs (ntuser.man)

  • Redirection du dossier Mes documents vers un lecteur USB ou un lecteur réseau

Windows SteadyState constitue une excellente solution permettant de protéger un poste de travail, qu'il soit dans un lieu public ou au sein d'une famille. Environ 10 minutes de paramétrages seront nécessaires pour paramétrer de façon assez fine les restrictions qui seront appliquées à des utilisateurs. Là encore, les intitulés des paramétrages sont très explicites, la prise en main est ainsi largement facilitée. La protection des disques durs est une fonction qui n'est pas nouvelle, rappelez-vous de certaines cartes au format PCI embarquant une sorte de BIOS, mais permet de se prémunir efficacement de virus et autre spywares...

Nous regretterons que seulement quatre antivirus / antispywares (eTrust, VirusScan, Trend Micro, Windows Defender) peuvent être gérés par l'interface de SteadyState.




+ Les plus
  • Facilité d'utilisation
  • Bonne ergonomie
  • Paramétrage pointu
  • Protection des disques durs
  • Gratuit et disponible en 18 langues dont le français
- Les moins
  • Ne fonctionne pas avec Vista
  • Prise en charge des antivirus limitée

  • Partager ce contenu :
Dans le même style
Vos commentaires
icone Suivre les commentaires
Poster un commentaire