Verrouillage des PC : difficile. Avec Windows 7 : facile.

Date de publication : 4 janvier 2011

La question du verrouillage

« Hé Jeremy, quelle est la meilleure façon de verrouiller mes machines Windows ? » C'est la question que me posent des dizaines de fois par an les étudiants qui assistent à mes ateliers de formation Stratégie de groupe, et ce dès le premier jour. Ils ont souvent hâte de passer directement aux choses sérieuses et de venir à bout de ce problème spécifique car ils savent que, lorsqu'ils retourneront au bureau pour mettre en pratique ce qu'ils vont apprendre, leur environnement sera plus prévisible et plus sécurisé.

Vous savez, je suis conscient que nous estimons tous que ce serait bien mieux si nos « utilisateurs pernicieux cessaient tout simplement de toucher à tout » sur le système d'exploitation Windows 7, les applications et les postes de travail. Et bien sûr, cela fait partie de l'art du verrouillage des postes de travail. Mais je vous suggère d'aborder le verrouillage des postes de travail à partir d'une approche holistique et incrémentielle. Il n'existe pas de façon « optimale » de verrouiller vos machines Windows.

Ce qui est vrai, en revanche, c'est que les technologies intégrées à Windows 7 permettent davantage de contrôle comme jamais auparavant, ainsi qu'un large éventail de situations. Explorons à présent certaines de mes méthodes préférées pour commencer à procéder au verrouillage des postes de travail ; je vous donnerai ensuite quelques conseils sur la façon d'étendre vos contrôles selon les besoins.

Retour au début

En tête grâce à la stratégie de groupe et aux préférences de stratégie de groupe

Couplées, la stratégie de groupe et les préférences de stratégie de groupe constituent sans doute la paire de technologies la plus puissante en vue de la mise en œuvre de votre verrouillage. Grâce à la stratégie de groupe, vous pouvez empêcher un utilisateur d'accéder à certains des emplacements les plus tentants de Windows 7, par exemple le panneau de configuration, le bureau, le menu Démarrer, la barre des tâches Windows, etc. Une fois l'objet de stratégie de groupe créé (GPO), la plupart de ces paramètres se trouvent dans la section Configuration utilisateur | Modèles d'administration. Il existe bien trop de paramètres à passer en revue ici, mais je vous encourage à farfouiller, à faire l'inventaire de ceux qui vous intéressent le plus et à les tester dans votre laboratoire de test, avant le déploiement en production.

Lors de la réalisation des tests de verrouillage, je vous suggère de faire appel à deux personnes : un « concepteur » et un « testeur ». Le concepteur doit se charger de configurer les paramètres de stratégie de groupe et les tests de verrouillage ; le testeur doit, quant à lui, valider les tests et s'efforcer de répondre aux intentions du concepteur. Le recours à deux personnes lors des tests permet de garantir de recevoir des commentaires pertinents. Une personne valide toujours la décision de l'autre.

Lorsque vous effectuez un test, veuillez noter que certains paramètres de stratégie dépendent d'autres paramètres de stratégie activés ou d'autres conditions définies ou présentes sur la machine cliente avant de voir réellement le résultat attendu. Une nouvelle fois, faire appel à un concepteur pour concevoir et à un testeur pour tester permet de s'assurer que les paramètres que vous souhaitez définir ont réellement été configurés sur la machine cliente.

Les préférences de stratégie de groupe vous permettent également de déployer les paramètres de poste de travail. Même s'ils ne sont pas spécifiquement conçus pour le verrouillage des postes de travail, ils peuvent s'avérer utiles afin de guider les utilisateurs sur une voie autre que celle de la tentation et de la normalisation.

Figure 1. Les préférences de stratégie de groupe peuvent implémenter les paramètres de Windows Internet Explorer

Parfois, ce qui est nécessaire est un mélange de stratégie de groupe et de préférences de stratégie de groupe. Par exemple, vous voudrez peut-être utiliser les préférences de stratégie de groupe pour définir un paramètre spécifique, puis utiliser les contrôles de la stratégie de groupe pour verrouiller certaines zones d'Internet Explorer.

Ce sont des compétences avancées qui nécessitent un peu de pratique et de patience. Mais avec un peu de temps, vous trouverez le juste équilibre en ayant recours à ces deux méthodes. Je vous invite à consulter la rubrique Paramètres de stratégie de groupe en vue de la création d'un état stable, qui renferme des dizaines d'idées afin de vous aider à démarrer.

Retour au début

Concentration, puis développement

Alors, revenons à la question de mes étudiants : « Hé Jeremy, quelle est la meilleure façon de verrouiller mes machines Windows ? » Comme vous pouvez le voir, j'adore montrer la voie du verrouillage fondamental à l'aide de la stratégie de groupe et des préférences de stratégie de groupe, puis développer vers l'extérieur en ayant recours à des technologies Windows 7 supplémentaires. Si vous recherchez des contrôles plus endurcis, vous voudrez peut-être consulter ce document récemment publié par Microsoft, intitulé Création d'un état stable à l'aide des technologies Microsoft. Vous y découvrirez des idées extraordinaires que vous pouvez mettre en œuvre, par exemple celles concernant les profils obligatoires, l'utilisation de la fonctionnalité AppLocker visant à empêcher les applications de s'exécuter ou encore le nouveau nettoyage du disque dur d'une machine chaque nuit.

Nous n'avons fait que gratter la surface. Consultez des trucs et astuces supplémentaires spécifiques au verrouillage des postes de travail dans ma rubrique « Astuce de la semaine » sur GPanswers.com. Vous pouvez vous inscrire pour recevoir l'astuce de la semaine gratuite et également acquérir une expérience pratique en matière de stratégie de groupe et de verrouillage des postes de travail par le biais de ma classe principale Stratégie de groupe en ligne ou que je dirige en personne.

Retour au début