Microsoft® Shared Computer Toolkit pour Windows® XP Impersonnaliser Windows XP Denis Arditti Ingénieur Avant-Vente Education www.microsoft.com/sharedaccess
Agenda Qu’est ce qu’un ordinateur en accès libre Les enjeux de ce type de configuration Vue d’ensemble A qui s’adresse Shared Computer Toolkit ? Pré requis système et recommandations Menaces de sécurité et vecteurs d’attaques Les outils La documentation Synthèse Liens et pointeurs
Qu’est qu’un ordinateur en accès libre Tout ordinateur qui a pour fonction première d’être utilisé par plus d’une personne Aussi appelé Espace Public Numérique Cibles adressées par le produit Utilisateurs dignes de confiance Faible niveau de confiance associés aux utilisateurs Lieu de travail Chez soi A l’école Lieux publics En déplacement Universités Collèges/Lycées Ecoles primaires Bibliothèques Web cafés EPN Aérorports Hôtels Centres de conférences Used PC in shared scenario US Brazil UK France Germany Total Respondents (Unweighted) 645 603 612 606 NA/Refused/Don't know 1 2 Yes 36% 24% 29% 19% 21% No 64% 76% 71% 81% 79%
Les enjeux Pour les utilisateurs Protection de la vie privée Sécurité Windows est conçu pour un usage individuel : Mémoriser les mots de passe Historique de navigation sur Internet et gestion des favoris Principe d’auto complétion des champs fréquemment utilisés Stockage de données personnelles (Mes documents, Mes images, …) Le comportement d’un utilisateur peut facilement compromettre l’expérience d’un autre : Modification du paramétrage Infection de l’ordinateur par un virus ou un programme malveillant Visualiser ou voler des informations personnelles Vous Protéger les ordinateurs en accès libre : Empêcher les utilisateurs de changer les paramètres du système Protection contre les virus et programmes malveillants Usage/installation de logiciels illicites Diagnostics de machines en accès libres inopérantes Trouver des outils simples, efficaces et peu coûteux est souvent difficile Gestion des mises à jour logiciels Trouver du temps pour améliorer la gestion des ordinateurs en accès libre
Microsoft Shared Computer Toolkit pour Windows XP – Vue d’ensemble Protection des disques Windows Empêcher l’altération du système. Retour à l’état initial après chaque redémarrage. Permet les mise à jour de Windows et des antivirus. Restrictions Windows Empêche l’utilisateur d’accéder aux paramètres et aux outils du système Création de profils “figés” qui réinitialisent les paramètres et suppriment les fichiers utilisateurs après chaque fermeture de session Profils utilisateurs Création de profils persistants sur une partition non protégées par Protection des disques Windows Effacement des profils verrouillés Accessibilité Activation des paramètres ou outils d’accessibilité même en profils restreints Accès rapide aux fonctions répétitives Mise en oeuvre Guides Aide contextuelle Tous les outils sont “scriptables”. Outils en ligne de commande additionnels inclus. Aide intuitive et Guide incluant des recommandations poussées pour la sécurité.
A qui s’adresse Shared Computer Toolkit ? Entités Administrateurs Ecoles primaires, collèges, lycées Universités Bibliothèques Espace Public Numérique Web cafés En fonction de la taille de l’organisation : Responsables informatique Enseignants, bibliothécaires Informaticiens bénévoles Ingénieurs systèmes et réseaux Inadéquat Environements Ordinateurs d’utilisateurs en entreprises, serveurs Clients à la recherche d’outils de limitation de la navigation sur Internet par leurs enfants Stations isolés ou en workgroup L’ensemble des outils Stations dans un domaine Certaines fonctions
Pré requis système Windows XP SP2: éditions Familiale, Professionnelle ou Tablet Le disque dur doit disposer d’espace libre non alloué pour activer la fonction Protection des disques Windows (1 Go ou plus) Deux façons de créer cet espace Redimensionner avec un outil tiers Réinstaller Windows en repartitionnant Option : une seconde partition pour permettre la sauvegarde permanente de données et paramètres (D:) .NET Framework 1.1 User Profile Hive Cleanup 1.6d
Recommandations logiciels L’ordinateur doit être de confiance Dernières mises à jour installées Antivirus à jour Antispyware à jour Les logiciels requis par vos utilisateurs doivent être installés Désinstaller les composants Windows, applications, outils non nécessaires Ils pourraient servir de “vecteurs d’attaques” The Toolkit will not make a computer “trustworthy” – any “bad stuff” on it will stay there – in fact it will become “protected” by Windows Disk Protection. Ensure you are confident in the security of the computer.
Menaces de sécurité et vecteurs d’attaques Manipulations accidentelles Pirates occasionnels Logiciels malveillants et analyseurs de comportements Rootkits Vandales Vecteurs d’attaques Windows est permissif Trop pour un ordinateur en accès libre Ligne de commande Scripts et macros Arrêt, démarrage de certains processus Accès à la base des registres Elévation de privilèges Toutes applications offrent de nouvelles possibilités
Vecteurs d’attaques
Mise en oeuvre
Préparation du disque dur
Exemple de partitionnement
Paramètrage de la sécurité
Création d’un compte utilisateur Public
Configuration du profil : Public
Comptes versus Profils utilisateurs Comptes utilisateurs Annuaire local Noms + mots de passe Panneau de contrôle Utiliser par le processus d’authentification (logon) Remarques Comptes et profils sont distincts mais reliés Le profil utilisateur est créé à la première ouverture de session Profils utilisateurs Fichiers utilisateurs et paramétrages Stockés sur disque
Restreindre et figer le profil public
L’outil de restriction Windows
L’outil de restriction Windows
Tester le profil Public
L’outil de configuration de l’accessibilité Available on All Users Start menu since the Control Panel is not available for restricted users.
Activation de la protection du disque Windows
L’outil Windows Disk Protection
L’outil Windows Disk Protection
Mise en oeuvre – Etape 8
Shared Computer Toolkit La démo !
Guide et aide en ligne
Système et applications Partition Windows C: protégée (NTFS) Synthèse Etudiants de langues Elèves de primaires Elèves de techno Enseignants Système et applications Mises à jour Autres App Profils utilisateurs locaux Restreint App langues Restreint Pas d’Internet Jeux éducatifs Certaines restrictions VS .NET Aucune restrictions Toutes les nuits Partition Windows C: protégée (NTFS) Partition D: (NTFS) Partition protégée (Espace disque non alloué) Accès à la vraie partition système (NTFS) Legende Profil bloqué Approche de type défense en profondeur au niveau logiciel : Ordinateur sain + profils restreints + profils figés + partition système protégée + mises à jour critiques + Pare feu Windows Utilisateurs à risque Utilisateurs de confiance
Guide : sécurité d’un Espace Public Numérique Surveillance Sécurité du compte administrateur Sécurité physique pour l’accès au réseau Sécuriser l’accès au BIOS Internet * Filtre de sites Proxy Exceptions Pare feu réseau Sécurité physique de l’UC * Outil tiers de filtrage des contenus et des services Segmentation du réseau WiFi Approche de type défense en profondeur au niveau ordinateur : Sécurité du compte administrateur, physique, réseau, BIOS * Les technologies de filtrages sont mises en place dans le cadre de l’expérience utilisateur et non pour la sécurité
Guide - Scénarios avancés Stockage des données personnelles Configuration du menu démarrer Administrateurs avec droits restreints Blocage des contrôles ActiveX Filtrage simple de sites Internet Gestion centralisée Application de SCT dans le cadre familial Duplication d’une machine configurée avec SCT
Shared Computer Toolkit et Active Directory Restrictions Windows En local pour les comptes banalisés Active Directory et les Stratégies systèmes sont plus adaptées pour l’administration centralisée Profil bloqué = profil obligatoire (.man) Utiles pour : Restrictions sur les profils par défaut Mise en oeuvre de restrictions locales en environnement AD Pour débuter avec les stratégies systèmes Protection du disque Windows Fonctionne en environnement AD Gestion du changement de mot de passe du compte machine pris en compte Attention : ne pas rester en mode Conserver les modifications indéfiniment (< 30 jours) ProfileMgr outil en ligne de commande qui permet de créer un profil utilisateur en le stockant sur la partition de données (altérable)
Compatibilité avec l’Active Directory Fonctions Active Directory Outil Restrictions Windows Active Directory, Stratégies de groupes et les profils obligatoires constituent la meilleur approche Protection du disque Windows Opérationnelle en environnement Active Directory Profils utilisateurs Active Directory, Stratégies de groupes et les profils obligatoires constituent la meilleur approche Accessibilité Opérationnelle en environnement Active Directory Ordinateur en accès libre
Principaux apports de Shared Computer Toolkit Retreindre l’accès aux ressources systèmes pour les utilisateurs non identifiés Création de différents profils d’utilisateurs et de différents types d’utilisateurs non identifiés Restriction liées au profils, de façon à ce que les utilisateurs n’accèdent qu’aux ressources dont ils sont réellement besoins Sécurisation des données, paramètres, et historique du navigateur de l’utilisateur de façon à ce qu’ils ne soient pas accessibles par d’autres Protéger les ordinateurs en accès libre contre les virus, programmes et personnes malveillants Empêcher les modifications sur le disque dur non approuvées. Ces modifications sont automatiquement supprimées à chaque redémarrage Permettre l’application permanente des mise à jour de sécurité et l’installation de nouvelles signatures pour les anti-virus Disposer d’informations complémentaires grâce à la documentation fournie Améliorer l’expérience utilisateur Simplification de l’interface Aider à accroître la confidentialité et la sécurité des données Rendre plus simple la mise en œuvre des fonctionnalités d’accessibilités
Téléchargement et newsgroup http://www.microsoft.com/windowsxp/sharedaccess/default.mspx Questions ? Commentaires ? news://news.microsoft.com/microsoft.public.windows.sharedaccess