Il y a dans mon service 2 ordinateurs en accès libre que tout le monde utilise (c’est leur rôle). Ces ordis ont par le passé été détournés de leur usage pro notamment par la consultation de sites web tendus du string ou l’installation de logiciels perso, aboutissant à leur vérolage régulier.
Le service informatique a donc mis en place une politique très dure sur ces PC, interdisant l’accès à tout lecteur local et tout le web sauf google et les pages jaunes. On ne peut accéder qu’aux lecteurs réseau.
Sauf que sur ces PC, on a parfois besoin de visionner des images issues de CD.
J’ai négocié avec le chef du service informatique, et celui-ci a décidé de nous rendre l’accès au lecteur CD uniquement, et c’était à contre-coeur, pour une période d’essai uniquement.
Mais je comprends ses arguments, et je lui ai demandé s’il serait possible de limiter le lecteur à l’exploration des dossiers et la lecture des jpg. A quoi il m’a répondu que ce n’est pas possible.
Donc je me tourne vers vous: y a-t-il dans windows quelque chose qui permette de faire ça et que je pourrais lui proposer (pas question de le faire dans son dos)?
Par contre le comment je ne sais pas vraiment. A priori je penserai surtout à un gestion des polices d’accès, ou alors toucher aux files types. Mais je pense que des gens qualifiés interviendront bientôt ici (genre Cold par exemple).
On peut le faire mais en prennant le pblm par un autre bout :
La gpo de restriction de logiciel.
Tu autorise donc seulement certains exe (hachage) sur ce poste. Ou par repertoire d’installation.
Par contre c’est super long et ardu, car il faut bien savoir ce que le soft à besoin. Sinon plantage.
C’est super chiant et relou à mettre en place.
Donc dans ton cas, tu permets le lancement uniquement de irfanview.exe sur le poste (ou IE qui lit les jpeg), ainsi que Internet explorer.
tout comme l’interdiction d’exe. Windows utilise le hachage , et à chaque nouvelle version, zou il faut rehacher l’exe … J’en ai fait l’experience, et n’etant pas assez nombreux j’ai abandonné le principe. Car bien sur, il faut hacher les anciennes versions
[quote=“silka, post:3, topic: 47256”]On peut le faire mais en prennant le pblm par un autre bout :
La gpo de restriction de logiciel.
Tu autorise donc seulement certains exe (hachage) sur ce poste. Ou par repertoire d’installation.
Par contre c’est super long et ardu, car il faut bien savoir ce que le soft à besoin. Sinon plantage.
C’est super chiant et relou à mettre en place.
Donc dans ton cas, tu permets le lancement uniquement de irfanview.exe sur le poste (ou IE qui lit les jpeg), ainsi que Internet explorer.
tout comme l’interdiction d’exe. Windows utilise le hachage , et à chaque nouvelle version, zou il faut rehacher l’exe … J’en ai fait l’experience, et n’etant pas assez nombreux j’ai abandonné le principe. Car bien sur, il faut hacher les anciennes versions :)[/quote]
Silka, tu t’es trompé de thread, tu voulais surement repondre dans le thread, “Y steak haché” ? non ?
Bon, un Coldfire, s’il vous plait, servi bien frais (j’ai eu une autre piste par pm mais s’il y avait une solution qui se contente d’utiliser ce qui est déjà inclus dans Windows, je pense que j’aurais plus de chance de pouvoir le faire accepter à mon interlocuteur).
[quote=“silka, post:6, topic: 47256”]c’est bon les hachés !
c’est une solution que nous avions mis en place pour une borne internet.
Maintenant, si c’est pour faire plus que de lire des jpegs et IE …[/quote]
Le problême c’est qu’il y a une palanquée d’autres logiciels obscurs et spécifiques lancés sur ces machines. Donc ça veut dire hasher tout ça. Je sens que le bonhomme en face va me dire que c’est bien compliqué ce que je lui propose là.
Le: Windows Steady State ne me semble pas aussi fin: ils décrivent une restriction d’accès par lecteur, pas par type de fichier sur un lecteur. Ceci dit ça a l’avantage d’être un outil MS qui serait mieux accepté par mon interlocuteur.
L’avantage de Windows Steady State est la possibilitée de vérouiller le disque dur de manière à ce que aucun fichier puisse être écrit dessus ou alors juste un répertoire.
Pour ce qui est des programmes et donc des fichiers, à mon ancien taf on avait vérouillé une station pour les commerciaux itinérants avec uniquement word (.doc) et internet explorer.
Franchement c’est le meilleur compromis pour sécuriser un poste Win Xp. Essaye le et tu verras tout ce qu’il est possible de faire en seulement deux clic de souris.
Tain mettez une distrib linux avec autologin en « guest » et ouverture de firefox, et les mecs ils pigeront tellement rien qu’ils pourront pas faire de conneries
Sinon, arrêtez de m’appeler, la sécurité windows au taf c’est pas moi qui m’en occupe.
Par contre je crois que le hashage a un problème: tu changes la date de création de l’exe et t’es bon pour refaire le hash (d’après mon idiot de collègue)
Ahah oui intéressant! Je ne l’avais pas vu comme ça. Ces pc n’ont pas vocation à ce que quoi que ce soit reste enregistré dessus. Je vais donc proposer ça au monsieur.
Merci Le!
dingue… MS est decidement trop gros huhu.