Embed Size (px)
Citation preview
Microsoft® Shared Computer Toolkit pour Windows® XP
ImpersonnaliserImpersonnaliser Windows XP Windows XP
Denis ArdittiDenis ArdittiIngénieur Avant-Vente EducationIngénieur Avant-Vente Education
www.microsoft.com/sharedaccesswww.microsoft.com/sharedaccess
AgendaAgenda
Qu’est ce qu’un ordinateur en accès libreQu’est ce qu’un ordinateur en accès libreLes enjeux de ce type de configurationLes enjeux de ce type de configurationVue d’ensembleVue d’ensembleA qui s’adresse Shared Computer Toolkit ?A qui s’adresse Shared Computer Toolkit ?Pré requis système et recommandationsPré requis système et recommandationsMenaces de sécurité et vecteurs d’attaquesMenaces de sécurité et vecteurs d’attaquesLes outilsLes outilsLa documentationLa documentationSynthèseSynthèseLiens et pointeursLiens et pointeurs
Qu’est qu’un ordinateur en accès Qu’est qu’un ordinateur en accès librelibreTout ordinateur qui a pour fonction première Tout ordinateur qui a pour fonction première
d’être utilisé par plus d’une personned’être utilisé par plus d’une personne
Chez soi A l’école En déplacementLieux publics
Aussi appelé Espace Public Numérique
Lieu de travail
Cibles adressées par le produitUtilisateurs dignes de
confiance Faible niveau de confiance associés aux utilisateurs
• Universités
• Collèges/Lycées
• Ecoles primaires
• Bibliothèques
• Web cafés
• EPN
• Aérorports
• Hôtels
• Centres de conférences
Les enjeuxLes enjeuxPour les utilisateursPour les utilisateurs
Protection de la vie privéeProtection de la vie privéeSécuritéSécuritéWindows est conçu pour un Windows est conçu pour un usage individuel :usage individuel :
Mémoriser les mots de passeMémoriser les mots de passeHistorique de navigation sur Historique de navigation sur Internet et gestion des favorisInternet et gestion des favorisPrincipe d’auto complétion des Principe d’auto complétion des champs fréquemment utiliséschamps fréquemment utilisésStockage de données Stockage de données personnelles (Mes documents, personnelles (Mes documents, Mes images, …)Mes images, …)
Le comportement d’un utilisateur Le comportement d’un utilisateur peut facilement compromettre peut facilement compromettre l’expérience d’un autre :l’expérience d’un autre :
Modification du paramétrageModification du paramétrageInfection de l’ordinateur par un Infection de l’ordinateur par un virus ou un programme virus ou un programme malveillantmalveillantVisualiser ou voler des Visualiser ou voler des informations personnellesinformations personnelles
VousVousProtéger les ordinateurs en Protéger les ordinateurs en accès libre :accès libre :
Empêcher les utilisateurs de Empêcher les utilisateurs de changer les paramètres du changer les paramètres du systèmesystèmeProtection contre les virus et Protection contre les virus et programmes malveillantsprogrammes malveillantsUsage/installation de logiciels Usage/installation de logiciels illicitesillicites
Diagnostics de machines en Diagnostics de machines en accès libres inopérantesaccès libres inopérantesTrouver des outils simples, Trouver des outils simples, efficaces et peu coûteux est efficaces et peu coûteux est souvent difficilesouvent difficileGestion des mises à jour Gestion des mises à jour logicielslogicielsTrouver du temps pour Trouver du temps pour améliorer la gestion des améliorer la gestion des ordinateurs en accès libreordinateurs en accès libre
Microsoft Shared Computer Toolkit Microsoft Shared Computer Toolkit pour Windows XP – Vue d’ensemblepour Windows XP – Vue d’ensembleProtection des disques WindowsProtection des disques Windows
Empêcher l’altération du système. Empêcher l’altération du système. Retour à l’état initial après chaque Retour à l’état initial après chaque redémarrage.redémarrage.Permet les mise à jour de Windows Permet les mise à jour de Windows et des antivirus.et des antivirus.
Restrictions WindowsRestrictions WindowsEmpêche l’utilisateur d’accéder Empêche l’utilisateur d’accéder aux paramètres et aux outils du aux paramètres et aux outils du systèmesystèmeCréation de profils “figés” qui Création de profils “figés” qui réinitialisent les paramètres et réinitialisent les paramètres et suppriment les fichiers utilisateurs suppriment les fichiers utilisateurs après chaque fermeture de sessionaprès chaque fermeture de session
Profils utilisateursProfils utilisateursCréation de profils persistants Création de profils persistants sur une partition non sur une partition non protégées par Protection des protégées par Protection des disques Windowsdisques WindowsEffacement des profils Effacement des profils verrouillésverrouillés
AccessibilitéAccessibilitéActivation des paramètres ou Activation des paramètres ou outils d’accessibilité même en outils d’accessibilité même en profils restreintsprofils restreintsAccès rapide aux fonctions Accès rapide aux fonctions répétitivesrépétitives
Tous les outils sont “scriptables”. Outils en ligne de commande additionnels inclus.Aide intuitive et Guide incluant des recommandations poussées pour la sécurité.
Mise en oeuvreMise en oeuvre•GuidesGuides•Aide contextuelleAide contextuelle
A qui s’adresse Shared Computer A qui s’adresse Shared Computer Toolkit ?Toolkit ?
• Ecoles primaires, collèges, lycées
• Universités• Bibliothèques• Espace Public Numérique• Web cafés
Entités
En fonction de la taille de l’organisation :• Responsables informatique• Enseignants, bibliothécaires• Informaticiens bénévoles • Ingénieurs systèmes et réseaux
Administrateurs
• Ordinateurs d’utilisateurs en entreprises, serveurs
• Clients à la recherche d’outils de limitation de la navigation sur Internet par leurs enfants
Inadéquat
• Stations isolés ou en workgroup• L’ensemble des outils
• Stations dans un domaine• Certaines fonctions
Environements
Pré requis systèmePré requis système
Windows XP SP2: éditions Familiale, Windows XP SP2: éditions Familiale, Professionnelle ou TabletProfessionnelle ou Tablet
Le disque dur doit disposer d’espace libre Le disque dur doit disposer d’espace libre non non alloué alloué pour activer la fonctionpour activer la fonction Protection des Protection des disques Windows (1 Go ou plus)disques Windows (1 Go ou plus)
Deux façons de créer cet espaceDeux façons de créer cet espace
Redimensionner avec un outil tiersRedimensionner avec un outil tiers
Réinstaller Windows en repartitionnantRéinstaller Windows en repartitionnant
Option : Option : une seconde partition pour permettre la une seconde partition pour permettre la sauvegarde permanente de données et sauvegarde permanente de données et paramètres (D:)paramètres (D:)
.NET Framework 1.1.NET Framework 1.1
User Profile Hive Cleanup 1.6dUser Profile Hive Cleanup 1.6d
Recommandations logicielsRecommandations logiciels
L’ordinateur doit être de confianceL’ordinateur doit être de confianceDernières mises à jour installéesDernières mises à jour installées
Antivirus à jourAntivirus à jour
Antispyware à jourAntispyware à jour
Les logiciels requis par vos utilisateurs doivent Les logiciels requis par vos utilisateurs doivent être installésêtre installés
Désinstaller les composants Windows, Désinstaller les composants Windows, applications, outils non nécessairesapplications, outils non nécessaires
Ils pourraient servir de “vecteurs d’attaques”Ils pourraient servir de “vecteurs d’attaques”
Menaces de sécurité et vecteurs Menaces de sécurité et vecteurs d’attaquesd’attaquesMenacesMenaces
Manipulations Manipulations accidentellesaccidentellesPirates occasionnelsPirates occasionnelsLogiciels malveillants Logiciels malveillants et analyseurs de et analyseurs de comportementscomportementsRootkitsRootkitsVandalesVandales
Vecteurs d’attaquesVecteurs d’attaquesWindows est permissifWindows est permissif
Trop pour un ordinateur Trop pour un ordinateur en accès libreen accès libre
Ligne de commandeLigne de commandeScripts et macrosScripts et macrosArrêt, démarrage de Arrêt, démarrage de certains processuscertains processusAccès à la base des Accès à la base des registresregistresElévation de privilègesElévation de privilègesToutes applications Toutes applications offrent de nouvelles offrent de nouvelles possibilitéspossibilités
Vecteurs Vecteurs d’attaquesd’attaques
Mise en oeuvreMise en oeuvre
Préparation du disque durPréparation du disque dur
Exemple de partitionnementExemple de partitionnement
Paramètrage de la sécuritéParamètrage de la sécurité
Création d’un compte utilisateur Création d’un compte utilisateur PublicPublic
Configuration du profil : PublicConfiguration du profil : Public
Comptes versus Profils utilisateursComptes versus Profils utilisateurs
Comptes utilisateursComptes utilisateurs
Annuaire localAnnuaire localNoms + mots de passeNoms + mots de passe
Panneau de contrôlePanneau de contrôle
Utiliser par le processus Utiliser par le processus d’authentification (logon)d’authentification (logon)
RemarquesRemarques
Comptes et profils sont Comptes et profils sont distincts mais reliésdistincts mais reliés
Le profil utilisateur est créé Le profil utilisateur est créé à la première ouverture de à la première ouverture de sessionsession
Profils utilisateursProfils utilisateurs
Fichiers utilisateurs et Fichiers utilisateurs et paramétragesparamétrages
Stockés sur disqueStockés sur disque
Restreindre et figer le profil publicRestreindre et figer le profil public
L’outil de restriction WindowsL’outil de restriction Windows
L’outil de restriction WindowsL’outil de restriction Windows
Tester le profil PublicTester le profil Public
L’outil de configuration de L’outil de configuration de l’accessibilitél’accessibilité
Activation de la protection du disque Activation de la protection du disque WindowsWindows
L’outil Windows Disk ProtectionL’outil Windows Disk Protection
L’outil Windows Disk ProtectionL’outil Windows Disk Protection
Mise en oeuvre – Etape 8Mise en oeuvre – Etape 8
Shared Computer ToolkitShared Computer Toolkit
La démo !La démo !
Guide et aide en ligneGuide et aide en ligne
Partition Windows C: protégée (NTFS)
SynthèseSynthèseEtudiants
de langues
Elèves
de primaires
Elèves
de techno
• Restreint
• App langues
• Restreint
• Pas d’Internet
• Jeux éducatifs
• Certaines restrictions
• VS .NET
Enseignants
Aucune restrictions
Profils utilisateurs locaux
Accès à la vraie partition système (NTFS)
Partition protégée (Espace disque non alloué)Partition D: (NTFS)
Legende
Système et applications
Profil bloqué
Utilisateurs à risque
Utilisateurs de confiance
Approche de type défense en profondeur au niveau logiciel :Ordinateur sain + profils restreints + profils figés + partition système protégée + mises à jour critiques + Pare feu Windows
Toutes Toutes
les nuitsles nuits
Autres AppMises à jour
Guide : sécurité d’un Espace Public Guide : sécurité d’un Espace Public NumériqueNumérique
Sécuriser l’accèsSécuriser l’accès
au BIOSau BIOS
Sécurité physique pour Sécurité physique pour
l’accès au réseaul’accès au réseau
* Filtre de* Filtre desitessites
Internet
* Outil tiers de* Outil tiers defiltrage des contenus filtrage des contenus
et des serviceset des services
Segmentation du Segmentation du réseau WiFiréseau WiFi
Pare feu réseauPare feu réseau
Approche de type défense en profondeur au niveau ordinateur :Sécurité du compte administrateur, physique, réseau, BIOS
* Les technologies de filtrages sont mises en place dans le cadre de l’expérience utilisateur et non pour la sécurité
SécuritéSécuritéphysiquephysiquede l’UCde l’UC
SurveillanceSurveillance
ProxyExceptions
Sécurité du compte administrateurSécurité du compte administrateur
Guide - Scénarios avancésGuide - Scénarios avancés
Stockage des données personnellesStockage des données personnelles
Configuration du menu démarrerConfiguration du menu démarrer
Administrateurs avec droits restreintsAdministrateurs avec droits restreints
Blocage des contrôles ActiveXBlocage des contrôles ActiveX
Filtrage simple de sites InternetFiltrage simple de sites Internet
Gestion centraliséeGestion centralisée
Application de SCT dans le cadre familialApplication de SCT dans le cadre familial
Duplication d’une machine configurée avec Duplication d’une machine configurée avec SCTSCT
Shared Computer Toolkit et Active Shared Computer Toolkit et Active DirectoryDirectoryRestrictions WindowsRestrictions Windows
En local pour les comptes En local pour les comptes banalisésbanalisés
Active Directory et les Active Directory et les Stratégies systèmes sont plus Stratégies systèmes sont plus adaptées pour l’administration adaptées pour l’administration centraliséecentralisée
Profil bloqué = profil Profil bloqué = profil obligatoire (.man)obligatoire (.man)
Utiles pour :Utiles pour :Restrictions sur les profils par Restrictions sur les profils par défautdéfaut
Mise en oeuvre de restrictions Mise en oeuvre de restrictions locales en environnement ADlocales en environnement AD
Pour débuter avec les Pour débuter avec les stratégies systèmesstratégies systèmes
Protection du disque WindowsProtection du disque Windows
Fonctionne en environnement Fonctionne en environnement ADAD
Gestion du changement de mot de Gestion du changement de mot de passe du compte machine pris en passe du compte machine pris en comptecompte
Attention Attention : ne pas rester en : ne pas rester en mode Conserver les mode Conserver les modifications indéfiniment (< modifications indéfiniment (< 30 jours)30 jours)
ProfileMgr outil en ligne de ProfileMgr outil en ligne de commande qui permet de créer commande qui permet de créer un profil utilisateur en le un profil utilisateur en le stockant sur la partition de stockant sur la partition de données (altérable)données (altérable)
Compatibilité avec l’Active Compatibilité avec l’Active DirectoryDirectory
Accessibilité
Profils utilisateurs
Protection du disque Windows
Ordinateur en accès libre
Ou
til
Opérationnelle en environnement Active Directory
Active Directory, Stratégies de groupes et les profils obligatoires constituent la meilleur approche
Opérationnelle en environnement Active Directory
Restrictions Windows
Active Directory, Stratégies de groupes et les profils obligatoires constituent la meilleur approche
Fonctions Active Directory
Principaux apports de Shared Computer Principaux apports de Shared Computer ToolkitToolkit
Protéger les ordinateurs en accès libre contre les virus, programmes et personnes malveillants
• Empêcher les modifications sur le disque dur non approuvées. Ces modifications sont automatiquement supprimées à chaque redémarrage
• Permettre l’application permanente des mise à jour de sécurité et l’installation de nouvelles signatures pour les anti-virus
• Disposer d’informations complémentaires grâce à la documentation fournie
Retreindre l’accès aux ressources systèmes pour les utilisateurs non identifiés
• Création de différents profils d’utilisateurs et de différents types d’utilisateurs non identifiés
• Restriction liées au profils, de façon à ce que les utilisateurs n’accèdent qu’aux ressources dont ils sont réellement besoins
• Sécurisation des données, paramètres, et historique du navigateur de l’utilisateur de façon à ce qu’ils ne soient pas accessibles par d’autres
Améliorer l’expérience utilisateur
• Simplification de l’interface
• Aider à accroître la confidentialité et la sécurité des données
• Rendre plus simple la mise en œuvre des fonctionnalités d’accessibilités
Téléchargement et newsgroupTéléchargement et newsgroup
Téléchargement :Téléchargement :
http://www.microsoft.com/windowsxp/sharedaccess/default.http://www.microsoft.com/windowsxp/sharedaccess/default.mspxmspx
Questions ? Commentaires ?Questions ? Commentaires ?news://news.microsoft.com/microsoft.public.windows.sharedaccessnews://news.microsoft.com/microsoft.public.windows.sharedaccess
