Windows 2003 à sécuriser

mounap · 21/01/2008, 16h48

Bonjour,

Le projet
Je dispose d'une machine avec windows 2003 version standard avec les services TSE. Cette machine est seule et connectée à aucun réseau...sauf à l'internet.
Elle est destinée à être installée chez un hébergeur et les utilisateurs de cette machine sont des personnes à qui on a donné un accès en TS sur cette machine (en leur donnant l'adresse IP et un login/mot de passe).

Rôle des utilisateurs
Ils utilisent un logiciel spécifique dont tous les fichiers (programmes, dll, données, fichiers de configuration) sont installés dans un seul dossier, par exemple env1 pour le user1. A noter que chaque user a son logiciel et donc son environnement propre.
A noter aussi que chaque utilisateur utilise un autre dossier : "son dossier" "Documents and Settings\userXX\...."
En résumé:
- L'utilisateur user1 travaille dans le dossier env1
- L'utilisateur user2 travaille dans le dossier env2, etc...

La problématique
On souhaite "sécuriser" le rôle de chaque utilisateur en configurant leur bureau de façon:
- à ce qu'il ne fasse rien d'autre que de travailler avec le logiciel.
En d'autres termes on voudrait configurer le bureau avec un minimum de raccourcis : celui sur le logiciel et celui sur le dossier env.
Comment faire pour que l'utilisateur ne puisse pas :
- lancer n'importe quelle commande windows, donc pas d'accès à "Démarrer/Exécuter" ni voir autre chose que son dossier ? mais qu'il puisse fermer sa session TS proprement ?
Il faut aussi veiller à ce que l'administrateur puisse surveiller chaque utilisateur voire même prendre la main sur sa session à des fins de formation.

N'étant pas administrateur (windows ou 2003), j'ai cherché une méthode pour sécuriser le compte des utilisateurs....

Je me suis laissé dire qu'il fallait installer DNS, AD et utilise GPO..et j'en oublie peut-être !. Pardon pour les acronymes mais comme je m'adresse à des spécialistes : c'est un jargon sans doute banal, non ?
Qu'est-ce qui justifie d'installer tous ces outils dans la mesure où cette machine est seule et connectée à aucune autre machine ?
Pour le moment cette machine n'a "que" windows 2003 avec le SP2 et les extensions TS.
Dans le cas où ce besoin d'installer tous ces outils est incontournable: dans quel ordre faut-il installer (et configurer) ces outils et pour quel but ?
Est-ce qu'acheter un ouvrage du style "Administration de 2003 serveur" répond à cette problématique et surtout donne des guides pour la mise en oeuvre ?

Merci pour votre coopération !
mounap

DM111 · 22/01/2008, 19h12

Citation:

Je me suis laissé dire qu'il fallait installer DNS, AD et utilise GPO..et j'en oublie peut-être !.

Installer AD (Active directory) pour gérer un seul ordinateur ? Cela prendrait beaucoup de temps et d’effort.

Citation:

- à ce qu'il ne fasse rien d'autre que de travailler avec le logiciel.

> ne pas installer d’autres applications, déjà.
> empêcher l’utilisation des autres (IE ?) avec des permissions.

Il est vrai que la stratégie de restriction des logiciels (Software Restriction Policy) aurait été utile mais il faudrait alors AD, effectivement.

Citation:

En d'autres termes on voudrait configurer le bureau avec un minimum de raccourcis : celui sur le logiciel et celui sur le dossier env.

Il y a beaucoup d’options que vous pourriez essayer :

http://www.novell.com/coolsolutions/.../img/nb_04.jpg

Note : pas besoin d’avoir Novell pour s’en servir. Vous faites :

Exécuter (run) | gpedit.msc

Ensuite, explorez vos options dans les dossiers montrés dans l’illustration.

Citation:

- lancer n'importe quelle commande windows, donc pas d'accès à "Démarrer/Exécuter" ni voir autre chose que son dossier ? mais qu'il puisse fermer sa session TS proprement ?

C’est quelque part là-dedans, ces options.

Citation:

Il faut aussi veiller à ce que l'administrateur puisse surveiller chaque utilisateur voire même prendre la main sur sa session à des fins de formation.

http://www.windowsdevcenter.com/pub/...-sessions.html

Désolé pour l’anglais mais il faut travailler avec ce qu’on a sous la main !

On peut configurer cela aussi dans les propriétés de TS – propriétés de connexion il me semble, mais je n’ai pas de TS devant moi pour vérifier le chemin.

mounap · 25/01/2008, 09h32

Merci pour votre réponse.
En fait j'aimerais savoir comment procéder...
Pour installer les règles que je souhaite, dois-je installer les modules DNS, AD, GPO...ou est-ce que je peux les installer avec les outils existants dans 2003 "basique" ?
Si c'est le cas quels sont les outils permettant de réaliser ces configurations ?
Il semblerait que gpedit.msc ne remplisse pas ces conditions...
Quel serait la reference bibliographique (livre en français ou anglais) ou je pourrais trouver la réponse à ma question : quel est le périmètres des fonctionnalités de sécurité existants dans 2003 après installation du système ?
Et quels sont les élements qui déterminent le fait de devoir installer des modules AD, DNS....?
Merci de votre aide.

DM111 · 29/01/2008, 18h35

Citation:

Pour installer les règles que je souhaite, dois-je installer les modules DNS, AD, GPO...ou est-ce que je peux les installer avec les outils existants dans 2003 "basique" ?

Tout dépend des règles que vous voulez imposer. Pour gérer l’exécution des logiciels avec telle ou telle extension ou se trouvant dans tel ou tel chemin, il faudrait , sauf erreur de ma part, mettre sur pied Active Directory et les stratégies de groupe (Group Policy).

En revanche, il y a d’autres choses qu’on peut faire avec la seule stratégie locale – les paramètres du bureau par exemple.

Citation:

Il semblerait que gpedit.msc ne remplisse pas ces conditions...

Non, la simple stratégie locale ne les remplit pas toutes.

Citation:

Et quels sont les élements qui déterminent le fait de devoir installer des modules AD, DNS....?

Si vous tenez à certaines options offertes par GP, DNS et AD sur un autre poste jouant plusieurs rôles : contrôleur de domaine et serveur DNS.

Sinon, vous pouvez vous contenter d’utiliser la stratégie locale du serveur existant.

Citation:

Quel serait la reference bibliographique (livre en français ou anglais) ou je pourrais trouver la réponse à ma question : quel est le périmètres des fonctionnalités de sécurité existants dans 2003 après installation du système ?

Je ne connais pas de livre qui les énumère comme ça.

Vous pourriez comparer la configuration de votre machine aux paramètres définis dans le modèle de sécurité setup security.inf

http://technet2.microsoft.com/window....mspx?mfr=true

setup security = paramètres (vous vouliez dire paramètres ou bien périmètres ?) en place juste après l’installation de W2K3.

mounap · 30/01/2008, 18h48

Bonjour,

Un grand merci pour vos réponses mais comme je ne parle pas votre jargon....je ne suis pas sûr de comprendre et...de me faire comprendre ...si j'en crois les questions qui reviennent...
Je reformule..j'espère clairement !
Je suis à la recherche d'une méthodologie pour réaliser un projet de mise en place d'un serveur 2003 chez un hébergeur internet. "Une
mise en place" veut dire -pour moi- faire en sorte que la machine soit prête pour la production, c'est-à-dire définitivement configurée et opérationnelle, prête à être utilisée par les futurs utilisateurs.
Cette machine est destinée à être utilisée par des utilisateurs qui se connecteront en mode TS et uniquement par ceux-là. Je précise aussi que cette machine sera administrée en mode TS aussi et pas autrement...du fait qu'elle sera administrée à distance étant hébergée chez un ...hébergeur !
Que feront les utilisateurs ?
Ils vont travailler avec un logiciel spécifique installé pour chacun. Ce logiciel est installé entièrement (sauf un fichier spécifique) dans un dossier réservé à l'utilisateur.
En résumé : l'utilisateur a accès à:
- son dossier hébergeant son environnement de travail (avec sous-dossiers et fichiers, les exécutables et les données),
- son profil (c:\Documents and settings\user1\...) dans lequel sera posé le fichier spécifique.
On souhaite que chaque utilisateur n'ait accès à rien d'autre que son dossier de "travail" et son dossier de profil.
En somme sur son bureau virtuel atteint une fois qu'il s'est connecté au serveur, l'utilisateur doit avoir un raccourci sur un programme exécutable et un autre raccourci sur le dossier qui lui est propre.
Sinon il n'a rien. c'est-à-dire qu'il n'a aucun autre icône ou raccoucis. Pas de possibilités de créer des raccourcis non plus ni de lancer une commande quelconque, pas d'accès à "Démarrer, exécuter". Bref : rien !!
L'utilisateur a le droit de créer des dossiers uniquement dans le dossier dont il a le raccourci. Il n'a pas le droit d'aller voir ailleurs : il ne le peut pas!
Autre spécification:
l'administrateur doit avoir tous les droits avec entre autres la possibilité de pouvoir prendre la main sur la session de n'importe quel utilisateur à des fins de formation.
Préparation du projet
Realisation d'une "maquette" c'est-à-dire installation d'une machine avec la configuration souhaitée et 3 utilisateurs.
Configurations et tests en interne.

Réalisation du projet
Une fois le contrat signé avec l'hébergeur, celui-ci installe une machine (avec windows 2003 server std), nous donne l'adresse IP et un login-passwd d'administration.
Puis nous configurons la machine à distance forts de l'expérience acquise auparavant sur la "maquette" !!!
Réalisation des tests en utilisant les comptes (véritables) des utilisateurs.
Ensuite on peut donner à chaque utilisateur leurs identifiants de connexion et hop : ils peuvent travailler !

J'aimerais connaitre le jargon utilisé un peu partout, en particuler dans la documentation KBFR293655 qui semble donner une procédure...mais est-ce c'est celle qu'il me faut ????
- stratégie de sécurité locale,
- charger la stratégie locale...

Une référence bibliographique serait bienvenue pour que je puisse trouver des réponses (faut-il oui ou non installer des modules complémentaires, si oui lesquels ?) dans l'optique de mon projet.
Clairement existe-il des livres qui expliquent "LA METHODE" en rapport avec les spécifications d'un projet d'administration au lieu de donner des détails de configuration qui ne peuvent être appliqués que par des spécialistes !!!

Merci pour votre aide !

mounap

21/01/2008, 16h48	#1
mounap Invité de passage Inscription : octobre 2006 Messages : 18 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 18 Points : 3 Points : 3	Windows 2003 à sécuriser Bonjour, Le projet Je dispose d'une machine avec windows 2003 version standard avec les services TSE. Cette machine est seule et connectée à aucun réseau...sauf à l'internet. Elle est destinée à être installée chez un hébergeur et les utilisateurs de cette machine sont des personnes à qui on a donné un accès en TS sur cette machine (en leur donnant l'adresse IP et un login/mot de passe). Rôle des utilisateurs Ils utilisent un logiciel spécifique dont tous les fichiers (programmes, dll, données, fichiers de configuration) sont installés dans un seul dossier, par exemple env1 pour le user1. A noter que chaque user a son logiciel et donc son environnement propre. A noter aussi que chaque utilisateur utilise un autre dossier : "son dossier" "Documents and Settings\userXX\...." En résumé: - L'utilisateur user1 travaille dans le dossier env1 - L'utilisateur user2 travaille dans le dossier env2, etc... La problématique On souhaite "sécuriser" le rôle de chaque utilisateur en configurant leur bureau de façon: - à ce qu'il ne fasse rien d'autre que de travailler avec le logiciel. En d'autres termes on voudrait configurer le bureau avec un minimum de raccourcis : celui sur le logiciel et celui sur le dossier env. Comment faire pour que l'utilisateur ne puisse pas : - lancer n'importe quelle commande windows, donc pas d'accès à "Démarrer/Exécuter" ni voir autre chose que son dossier ? mais qu'il puisse fermer sa session TS proprement ? Il faut aussi veiller à ce que l'administrateur puisse surveiller chaque utilisateur voire même prendre la main sur sa session à des fins de formation. N'étant pas administrateur (windows ou 2003), j'ai cherché une méthode pour sécuriser le compte des utilisateurs.... Je me suis laissé dire qu'il fallait installer DNS, AD et utilise GPO..et j'en oublie peut-être !. Pardon pour les acronymes mais comme je m'adresse à des spécialistes : c'est un jargon sans doute banal, non ? Qu'est-ce qui justifie d'installer tous ces outils dans la mesure où cette machine est seule et connectée à aucune autre machine ? Pour le moment cette machine n'a "que" windows 2003 avec le SP2 et les extensions TS. Dans le cas où ce besoin d'installer tous ces outils est incontournable: dans quel ordre faut-il installer (et configurer) ces outils et pour quel but ? Est-ce qu'acheter un ouvrage du style "Administration de 2003 serveur" répond à cette problématique et surtout donne des guides pour la mise en oeuvre ? Merci pour votre coopération ! mounap
	00

25/01/2008, 09h32	#3
mounap Invité de passage Inscription : octobre 2006 Messages : 18 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 18 Points : 3 Points : 3	Suite... Merci pour votre réponse. En fait j'aimerais savoir comment procéder... Pour installer les règles que je souhaite, dois-je installer les modules DNS, AD, GPO...ou est-ce que je peux les installer avec les outils existants dans 2003 "basique" ? Si c'est le cas quels sont les outils permettant de réaliser ces configurations ? Il semblerait que gpedit.msc ne remplisse pas ces conditions... Quel serait la reference bibliographique (livre en français ou anglais) ou je pourrais trouver la réponse à ma question : quel est le périmètres des fonctionnalités de sécurité existants dans 2003 après installation du système ? Et quels sont les élements qui déterminent le fait de devoir installer des modules AD, DNS....? Merci de votre aide.
	00

30/01/2008, 18h48	#5
mounap Invité de passage Inscription : octobre 2006 Messages : 18 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 18 Points : 3 Points : 3	Précisions Bonjour, Un grand merci pour vos réponses mais comme je ne parle pas votre jargon....je ne suis pas sûr de comprendre et...de me faire comprendre ...si j'en crois les questions qui reviennent... Je reformule..j'espère clairement ! Je suis à la recherche d'une méthodologie pour réaliser un projet de mise en place d'un serveur 2003 chez un hébergeur internet. "Une mise en place" veut dire -pour moi- faire en sorte que la machine soit prête pour la production, c'est-à-dire définitivement configurée et opérationnelle, prête à être utilisée par les futurs utilisateurs. Cette machine est destinée à être utilisée par des utilisateurs qui se connecteront en mode TS et uniquement par ceux-là. Je précise aussi que cette machine sera administrée en mode TS aussi et pas autrement...du fait qu'elle sera administrée à distance étant hébergée chez un ...hébergeur ! Que feront les utilisateurs ? Ils vont travailler avec un logiciel spécifique installé pour chacun. Ce logiciel est installé entièrement (sauf un fichier spécifique) dans un dossier réservé à l'utilisateur. En résumé : l'utilisateur a accès à: - son dossier hébergeant son environnement de travail (avec sous-dossiers et fichiers, les exécutables et les données), - son profil (c:\Documents and settings\user1\...) dans lequel sera posé le fichier spécifique. On souhaite que chaque utilisateur n'ait accès à rien d'autre que son dossier de "travail" et son dossier de profil. En somme sur son bureau virtuel atteint une fois qu'il s'est connecté au serveur, l'utilisateur doit avoir un raccourci sur un programme exécutable et un autre raccourci sur le dossier qui lui est propre. Sinon il n'a rien. c'est-à-dire qu'il n'a aucun autre icône ou raccoucis. Pas de possibilités de créer des raccourcis non plus ni de lancer une commande quelconque, pas d'accès à "Démarrer, exécuter". Bref : rien !! L'utilisateur a le droit de créer des dossiers uniquement dans le dossier dont il a le raccourci. Il n'a pas le droit d'aller voir ailleurs : il ne le peut pas! Autre spécification: l'administrateur doit avoir tous les droits avec entre autres la possibilité de pouvoir prendre la main sur la session de n'importe quel utilisateur à des fins de formation. Préparation du projet Realisation d'une "maquette" c'est-à-dire installation d'une machine avec la configuration souhaitée et 3 utilisateurs. Configurations et tests en interne. Réalisation du projet Une fois le contrat signé avec l'hébergeur, celui-ci installe une machine (avec windows 2003 server std), nous donne l'adresse IP et un login-passwd d'administration. Puis nous configurons la machine à distance forts de l'expérience acquise auparavant sur la "maquette" !!! Réalisation des tests en utilisant les comptes (véritables) des utilisateurs. Ensuite on peut donner à chaque utilisateur leurs identifiants de connexion et hop : ils peuvent travailler ! J'aimerais connaitre le jargon utilisé un peu partout, en particuler dans la documentation KBFR293655 qui semble donner une procédure...mais est-ce c'est celle qu'il me faut ???? - stratégie de sécurité locale, - charger la stratégie locale... Une référence bibliographique serait bienvenue pour que je puisse trouver des réponses (faut-il oui ou non installer des modules complémentaires, si oui lesquels ?) dans l'optique de mon projet. Clairement existe-il des livres qui expliquent "LA METHODE" en rapport avec les spécifications d'un projet d'administration au lieu de donner des détails de configuration qui ne peuvent être appliqués que par des spécialistes !!! Merci pour votre aide ! mounap
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email