• Article

Histoires de BureauInformatique partagée avec Windows SteadyState

Wes Miller

Je sais que si vous vous êtes trouvé près d'un laboratoire informatique au cours de la dernière décennie, ce problème ne vous est pas étranger.C'est un problème auquel j'ai été confronté pour la première fois quand j'étais à l'université.En ce temps là, les laboratoires étaient ouverts à toute heure du jour (avec votre carte d'étudiant) et étaient pour ainsi dire sans surveillance une fois que vous étiez dans la bibliothèque.Les étudiants accros des jeux de l'époque

entraient et modifiaient les fichiers Windows® et MS-DOS® clés pour exécuter leurs jeux.Ces modifications se traduisaient par un ordinateur qui pouvait faire fonctionner leur jeu correctement, mais qui n'exécutait pas bien Windows, voire pas du tout.Nous avons tous connu cette situation à un moment donné : un ordinateur en usage partagé qui a été maltraité au point qu'essayer de l'utiliser n'est plus qu'une perte de temps.

Récemment, je suis allé en vacances à South Padre Island, ici au Texas.L'hôtel où j'ai séjourné disposait de trois ordinateurs Windows XP dans une salle informatique réservée aux clients.Quiconque utilisait ces systèmes Windows était administrateur et l'hôtel n'avait aucune stratégie en place, ce qui signifie que chacun de ces pauvres ordinateurs avait été assez violemment maltraités par les visiteurs qui y installaient des logiciels frauduleux et supprimaient ou modifiaient des applications de base. Il va sans dire que ce n'est probablement pas ce que l'hôtel avait prévu.Que vous soyez dans un laboratoire ou un hôtel, la vérité est que les ordinateurs en usage partagé dans un environnement public en voient de toutes les couleurs, souvent même plus que certains ordinateurs privés.

Les solutions au problème

Se procurer et utiliser SteadyState

Windows SteadyState est disponible sous forme de téléchargement gratuit à l'adresse go.microsoft.com/fwlink/?LinkId=104721.Vous trouverez plus d'informations sur SteadyState à l'adresse microsoft.com/windows/products/winfamily/sharedaccess.

Windows SteadyState s'exécute sur n'importe quel système capable d'exécuter Windows XP.L'amélioration la plus importante par rapport à SCT réside dans le fait que SteadyState n'a pas besoin d'une deuxième partition pour fonctionner, à la différence de SCT pour la Protection des disques Windows.

Le tableau suivant fournit une présentation de la configuration requise pour SteadyState.Notez que SteadyState nécessite un système de fichiers au format NTFS, même si n'importe quelle version de Windows XP est prise en charge.SteadyState ne fonctionne actuellement pas avec Windows Vista®.

Composant Configuration requise
Processeur 300 MHz ou plus (233 MHz minimum).
Mémoire 128 Mo de RAM ou plus (64 Mo minimum ; peut limiter les performances et certaines fonctionnalités).
Disque dur Espace libre de 1,5 Go minimum sans la Protection de disque Windows, ou au moins 4 Go avec la Protection de disque Windows.
Système d’exploitation Windows XP Édition familiale, Windows XP Professionnel ou Windows XP Tablet PC Edition.Windows XP SP2 doit être installé.
Langues localisées prises en charge anglais, chinois simplifié, espagnol, français, italien, japonais néerlandais et portugais (Brésil).
Système de fichiers Format NTFS.
Accès Accès de niveau Administrateur.

Si vous avez lu mes articles de l'année dernière, ou si vous connaissez le déploiement de Windows en général, vous pourriez penser, « La belle affaire, je vais juste ré-imager les systèmes ».Mais ceux d'entre vous qui ont de la bouteille savent que ce n'est pas toujours aussi simple.Cliquer sur le gros bouton rouge de création d'une nouvelle image tous les jours ou toutes les semaines n'est pas vraiment efficace.

Il y a quelques années, un ami et moi avons envisagé de lancer un café Internet.C'était en 1995, lorsque c'était encore une idée originale.Ma plus grande inquiétude était en fait de garantir la fiabilité et la disponibilité du système.Malheureusement, à l'époque, les options disponibles étaient pour ainsi dure toutes des solutions de création d'une nouvelle image ou des solutions légèrement plus robustes ; il y n'avait rien de rapide et pratique pour résoudre le problème.

Pour décomposer le problème, quand vous sécurisez les ordinateurs en usage partagé, vous devez pouvoir faire trois choses :

  • Garantir que les utilisateurs n'ont jamais le statut d'administrateur.Ceci toujours doit être le cas sur les ordinateurs partagés.
  • Mettre en place une stratégie pour sécuriser les systèmes autant que possible.Ainsi, un faible nombre d'utilisateurs potentiels sera en mesure de manipuler des secteurs du système auxquels ils ne devraient pas avoir accès.
  • Pouvoir annuler les modifications aléatoires opérées par les utilisateurs.Même si les utilisateurs ne sont pas connectés en tant qu'administrateurs, ils peuvent toujours apporter des modifications non autorisées aux menus, aux favoris, etc.

Heureusement, Microsoft a travaillé plusieurs années sur une boîte à outils conçue pour vous aider dans ce cas précis.

Historique de SteadyState

Il y a un peu plus d'un an, Microsoft distribuait la boîte à outils Windows Shared Computing Toolkit (SCT).Téléchargeable gratuitement pour les systèmes certifiés Windows Genuine Advantage, la boîte à outils avait été spécifiquement conçue en pensant aux bibliothèques, aux cafés Internet, aux laboratoires et autres environnements informatiques partagés.SCT a été traitée dans l'édition de Technet Magazine de juillet 2006 (technetmagazine.com/issues/2006/07/UtilitySpotlight).

Une nouvelle version, désormais appelée Windows SteadyStateTM (microsoft.com/windows/products/winfamily/sharedaccess), a été publiée en juin 2007. La nouvelle version a été renommée en partie parce que la boîte à outils avait considérablement évolué d'une version à l'autre.Elle effectue toujours les mêmes tâches, que j'expliquerai dans un moment, mais l'équipe s'est attachée à rendre la nouvelle version plus facile à utiliser d'une manière générale.Par conséquent, SteadyState est étroitement intégré dans une nouvelle console et plus facile à installer et à gérer.Il est plus puissant et flexible, et il prend en charge l'intégration Active Directory® en tant que composant clé, d'où une augmentation de la flexibilité dans plusieurs scénarios d'entreprise entièrement nouveaux.Il prend désormais également en charge l'intégration de Windows Update, si bien que SteadyState est à même de savoir quand désactiver la Protection de disque Windows pour appliquer lui-même des mises à jour.Ceci réduit les frais de gestion que vous devez consacrer à vos systèmes gérés par SteadyState.

Fonctionnalités de SteadyState

Windows SteadyState possède quatre composants clés :La fonction Restrictions ordinateur verrouille les options de sécurité et de configuration par ordinateur ; la Protection des disques Windows met en cache (et annule) les modifications de la partition système de Windows ; le gestionnaire de compte utilisateur crée, modifie, importe ou exporte un utilisateur ; et enfin, la fonction Paramètres et restrictions utilisateur verrouille les options de sécurité et de configuration par utilisateur.

L'une des améliorations que vous remarquerez tout de suite par rapport à la boîte à outils SCT réside dans l'aide de l'utilisateur.Un guide de démarrage vous aide à devenir opérationnel avec SteadyState.SteadyState propose ensuite quatre tâches clés pour aller plus loin (qui reflètent les fonctionnalités clés mentionnées auparavant) :

  • Configurer les restrictions de l'ordinateur (Restrictions ordinateur).
  • Planifier les mises à jour des logiciels.(Vous permet de spécifier si SteadyState applique automatiquement les mises à jour Windows Update.Ceci est recommandé, car il contrôle la Protection de disque de Windows pour vous et met également à jour les signatures de plusieurs antivirus courants.)
  • Protection du disque dur (Protection des disques Windows).
  • Ajout d'utilisateur (Gestionnaire de Compte utilisateur).

Sous Ajouter un utilisateur, vous trouverez les paramètres et restrictions utilisateur, qui vous offrent une option de configuration par utilisateur.

Paramètres et restrictions des ordinateurs et des utilisateurs

Si vous connaissez la stratégie de groupe Windows, vous connaissez déjà l'option Configurer les restrictions de l'ordinateur et les paramètres et restrictions d'utilisateur de SteadyState.Au lieu d'obliger les administrateurs SteadyState à utiliser l'Éditeur d'objets de stratégie de groupe (GPEdit.msc), qui n'est pas une fonctionnalité disponible dans Windows XP Édition familiale (bien qu'elle prenne en charge SteadyState), SteadyState présente plusieurs options de configuration et de sécurité clés communes dans le scénario d'ordinateur partagé.

La figure 1 illustre l'écran de configuration pour Configurer les restrictions de l'ordinateur.Notez qu'il s'agit de paramètres génériques qui s'appliqueront à tout l'ordinateur.Ces paramètres sont principalement sélectionnés pour réduire les risques de sécurité auquel le système est exposé, et dans le cas de l'accès d'un lecteur USB, la possibilité de supprimer des éléments du système.(Lorsque vous regarderez les paramètres par utilisateur, vous verrez également une méthode permettant bloquer l'accès en lecture à certains ou à tous les lecteurs.)

Figure 1 Restrictions de l'ordinateur dans SteadyState

Figure 1** Restrictions de l'ordinateur dans SteadyState **(Cliquer sur l'image pour l'agrandir)

Il est important de noter que le paramètre USB n'est actif que sous l'installation Windows où SteadyState est configuré.Pour garantir la sécurité contre les attaques hors connexion, vous devez configurer correctement le BIOS pour empêcher le démarrage à partir de périphériques USB ou de CD et protéger le BIOS lui-même par un mot de passe.

Cette mesure n'est bien sûr pas infaillible.Rappelez-vous la troisième loi des « 10 lois immuables de sécurité » (microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx) :« Si la mauvaise personne possède un accès physique non restreint à votre ordinateur, ce n'est plus votre ordinateur. ».Un individu motivé disposant d'assez de temps et des bons outils peut souvent contourner un mot de passe de BIOS.

Protection des disques Windows

Si vous avez déjà utilisé Windows XP Embedded à partir d'un CD, ou Windows PE 2.0, ce que je suis sur le point de décrire vous semblera familier, pour la bonne raison qu'ils ont une histoire commune.La Protection des disques Windows fournit une fonction d'annulation complète pour la partition système de Windows en enregistrant toutes les modifications apportées à la partition système dans un cache sur la même partition.Cet aspect de SteadyState est essentiel, puisque c'est le composant qui vous permet d'annuler les modifications apportées progressivement par les utilisateurs du système.

La Protection des disques Windows est surtout utile si vous voulez vous assurer que, au fil du temps, vous resterez capable de revenir rapidement (après un redémarrage imprévu ou à un intervalle planifié) à l'état déployé initial du système.Elle compte quatre modes que vous pouvez configurer dans la boîte de dialogue illustré à la **figure 2 **:

Figure 2 Configuration de la Protection des disques Windows

Figure 2** Configuration de la Protection des disques Windows **(Cliquer sur l'image pour l'agrandir)

Inactive La Protection des disques Windows est complètement désactivée, et toutes les modifications sont écrites sur le disque normalement.

Active – Rejeter les modifications au redémarrage La Protection des disques Windows est activée, et chaque fois que vous redémarrez l'ordinateur, toutes les modifications sont rejetées.Pour l'essentiel, cela signifie que le système reviendra exactement où il était lorsque vous avez coché et enregistré cette option.

Active – Rejeter les modifications à un intervalle défini Presque identique aux options précédentes sauf que les modifications sont rejetées à un moment défini, pas au redémarrage suivant.Ce serait un choix logique si vous souhaitez rejeter les modifications chaque jour ou chaque semaine.

Active – Conserver les modifications indéfiniment Facile à confondre dans son concept avec la désactivation, mais la différence ici est qu'il s'agit d'un mode temporaire.Par exemple, vous pouvez utiliser ce mode si vous voulez appliquer des mises à jour d'application, installer de nouvelles applications ou configurer le système.Ce n'est pas un mode que vous utiliseriez généralement sur une longue période.

Notez que la Protection des disques Windows nécessite un redémarrage pour passer d'un de ces modes à un autre.

Planifier les mises à jour des logiciels

Le paramètre Planifier les mises à jour des logiciels est pratique en ce sens que SteadyState a désormais la capacité d'activer ou de désactiver la Protection des disques Windows automatiquement pour vous.Si vous laissez SteadyState contrôler vos mises à jour, il configure la Protection des disques Windows pour conserver les modifications pendant la mise à jour et restaurer ensuite la Protection des disques Windows à l'état défini précédemment.Je recommande chaudement ce paramètre car il élimine une corvée de votre liste des tâches de gestion.

Les logiciels de sécurité suivants sont pris en charge via la fonctionnalité de mise à jour dans les Mises à jour des logiciels :Computer Associates eTrust 7.0, McAfee VirusScan, Windows Defender et TrendMicro 7.0.

Gestionnaire de compte utilisateur

L'option Ajouter un utilisateur vous permet de configurer de nouveaux utilisateurs pour le système.La figure 3 illustre les options disponibles pour votre nouvel utilisateur :nom, mot de passe, une image pour représenter l'utilisateur et l'emplacement du profil utilisateur.Une fois que vous avez créé des utilisateurs, vous pouvez définir les paramètres et les restrictions d'utilisateur pour chacun de ces comptes locaux.Ce qui est agréable, c'est qu'une fois que vous avez ajouté et configuré un compte sur votre système, vous pouvez l'exporter et l'importer ensuite sur un autre système selon vos besoins (ou l'archiver).

Figure 3 Ajout de comptes d'utilisateurs

Figure 3** Ajout de comptes d'utilisateurs **(Cliquer sur l'image pour l'agrandir)

Un aspect pratique du Gestionnaire de compte utilisateur est que les profils utilisateur peuvent être créés sur une partition secondaire à l'aide du menu Emplacement de l'utilisateur illustré à la figure 3.En général, les profils doivent être créés sur la partition Windows, à moins que vous ayez spécifié manuellement un emplacement Documents and Settings différent lors de l'installation à l'aide d'un fichier unattend.txt.Cette approche est particulièrement utile avec SteadyState puisqu'il rejette les modifications apportées à la partition système de Windows lorsque la Protection des disques Windows est activée.Si vous voulez qu'un profil d'utilisateur reste cohérent au fil des purges de cache de la Protection des disques Windows, vous pouvez simplement spécifier que le profil de l'utilisateur est enregistré sur une autre partition locale en créant l'utilisateur à l'aide du Gestionnaire de compte utilisateur.

Ce processus fonctionne en redémarrant pour désactiver le cache de la Protection des disques Windows, en appliquant les mises à jour et en redémarrant ensuite encore une fois pour redémarrer la Protection des disques Windows.Outre Windows Update, SteadyState mettra à jour les fichiers de signatures pour plusieurs applications antivirus courantes prises en charge (voir l'encadré « Se procurer et utiliser SteadyState »).Si votre application n'est pas prise en charge ou si vous avez besoin d'exécuter le programme de mise à niveau, vous pouvez procéder à la mise à jour manuellement. Vous devez toutefois vérifier que la Protection des disques Windows est désactivée à ce moment-là, ou la mise à jour des signatures sera perdue.

Paramètres et restrictions d'utilisateur

Une fois que vous avez sélectionné un utilisateur, SteadyState répartit les restrictions d'utilisateur en quatre catégories.Celles-ci sont dérivées des paramètres de Stratégie de groupe et vous paraîtront probablement familières.

Les paramètres Général contrôlent les profils utilisateur et les configurations de déconnexion forcée.Ceci inclut des paramètres pour verrouiller le profil et définir des intervalles d'expiration pour la fermeture d'une session après une durée d'utilisation ou une durée d'inactivité configurée.

Les paramètres Restrictions dans Windows, illustrés à la Figure 4, contrôlent des éléments de configuration spécifiques à Windows.Il peut par exemple s'agir de la suppression de l'accès aux éléments d'interface utilisateur de Windows tels que les composants du menu Démarrer et la fonctionnalité Explorateur Windows.La possibilité de bloquer l'accès à des lecteurs spécifiques par lettre de lecteur est également disponible, tout comme la possibilité de désactiver la gravure sur CD.

Figure 4 Restrictions utilisateurs spécifiques à Windows

Figure 4** Restrictions utilisateurs spécifiques à Windows **(Cliquer sur l'image pour l'agrandir)

L'onglet Restrictions des fonctionnalités, illustré à la figure 5, contrôle l'accès granulaire à la plupart des fonctionnalités d'Internet Explorer®, vous permet de définir la page d'accueil d'Internet Explorer et de contrôler les fonctionnalités Microsoft® Office dans une certaine mesure (principalement axées sur le contrôle de la capacité d'exécuter des scripts Visual Basic® for Applications (VBA).

Figure 5 Restrictions des fonctionnalités

Figure 5** Restrictions des fonctionnalités **(Cliquer sur l'image pour l'agrandir)

Les paramètres Bloquer les programmes (voir la figure 6) contrôle la possibilité d'exécuter des applications spécifiques, en d'autres termes vous créez une liste noire.Celle-ci est peuplée avec plusieurs applications courantes et vous pouvez en ajouter d'autres.Notez que ces éléments sont bloqués en fonction d'une définition de leur chemin.Si un utilisateur est autorisé à déplacer une application ailleurs sur le système, la règle de chemin d'accès ne s'appliquera plus.Des ACL de fichiers et de répertoires correctement appliquées et d'autres restrictions d'accès au système empêcheront toutefois d'utiliser facilement cette possibilité.

Figure 6 Blocage de l'exécution des programmes

Figure 6** Blocage de l'exécution des programmes **(Cliquer sur l'image pour l'agrandir)

Une autre nouvelle fonctionnalité importante de SteadyState est basée sur les modèles préconfigurés qui spécifient des niveaux de restriction liés aux restrictions dans Windows et aux restrictions des fonctionnalités.Les modèles permettent d'obtenir plus facilement une configuration de base opérationnelle en fonction du niveau désiré de verrouillage de fonctionnalité/fonction.Vous avez bien entendu aussi la possibilité de générer des modèles personnalisés.

Limites de SteadyState

SteadyState aide considérablement les organisations à stabiliser leurs systèmes informatiques partagés.Pour un outil commercial, ce serait déjà bien.Pour un outil gratuit, c'est tout à fait admirable.Mais, n'oubliez pas, il ne fait pas tout.

Les systèmes informatiques partagés sont des cibles faciles pour les attaques ou les abus, même non intentionnels.Vous devez vous assurer que ces systèmes sont isolés des informations auxquelles les utilisateurs n'ont pas besoin de pouvoir accéder.Bien que SteadyState ait également la possibilité de bloquer l'accès aux applications, ces mesures sont contrôlées à l'aide des stratégies de restriction logicielle.Et comme Marquer Russinovich le disait il y a quelques années, il y existe des techniques permettant à un utilisateur un peu expérimenté de créer une application paraissant anodine, mais qui même en tant qu'utilisateur limité lui permettra toujours de contourner ces stratégies (blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-group-policy-as-a-limited-user.aspx).Dans la mesure où vous ne pouvez pas bloquer tout l'accès de périphérique et l'accès Internet, c'est une vulnérabilité dont vous devrez tenir compte.N'oubliez jamais la loi n° 3...

Évidemment, SteadyState n'est qu'un élément d'un système informatique partagé bien configuré.L'application régulière des mises à jour à l'aide de Windows Update et la configuration adéquate du Pare-feu Windows (ou un autre pare-feu) sont essentielles.De plus, veillez à installer et à configurer un antivirus, un programme anti-logiciels espions et d'autres contre-mesures de sécurité nécessaires quand vous analysez les risques potentiels pour l'ordinateur.De même, contrôlez l'accès à l'ordinateur ; si vous ne pouvez pas contrôler cela, contrôlez ce que l'ordinateur peut voir.Et ne stockez pas de données confidentielles en local.

Enfin, quand vous qualifiez votre plate-forme, assurez-vous que vos tests incluent l'utilisation de SteadyState (avec la Protection des disques Windows activée, à moins que ne vous prévoyiez pas de l'utiliser) et tout logiciel supplémentaire que vous avez l'intention d'exécuter sur le système.Vous devrez vous assurer que le logiciel et SteadyState fonctionnent ensemble de manière optimale.

Prise en charge de SteadyState

Les commentaires d'utilisateurs que j'ai vus pour SteadyState sont très positifs.J'ai entendu parler de quelques problèmes mineurs jusqu'à maintenant, certains relatifs à l'ordre dans lequel vous devez ajouter les utilisateurs.Un grand nombre de ces problèmes (ainsi que d'autres conseils et astuces) sont traités au sein de la très active communauté Windows SteadyState (reliée pour plus de commodité à plusieurs endroits dans l'application et la documentation SteadyState) à l'adresse forums.microsoft.com/windowstoolsandutilities.

Avant de commencer, je vous recommanderais également de consulter le manuel de SteadyState, disponible à l'adresse go.microsoft.com/fwlink/?LinkId=104722.Il fournit plusieurs conseils et astuces pour utiliser SteadyState avec succès.

Conclusion

SteadyState fournit un formidable package de fonctionnalités pour n'importe quel système Windows XP pour lequel vous avez besoin de contrôler l'accès, et est gratuit !La fonctionnalité de Protection des disques Windows, améliorée de façon spectaculaire ainsi que les améliorations de l'interface utilisateur simplifient le déploiement et la gestion généraux de vos systèmes à accès partagé.

Si vos besoins concernent des systèmes de laboratoire informatique, des bornes d'accès partagé pour visiteurs ou employés, des salles de formation ou d'autres besoins de partage d'ordinateurs, SteadyState peut vous aider à obtenir, et à maintenir, plus facilement les systèmes opérationnels.Et vous n'aurez pas besoin de créer de nouvelles images chaque semaine juste pour redémarrer un nouveau système.Et cela, d'après moi, constitue amélioration considérable.

Wes Millerest responsable technique de produit chez Initiate Systems (InitiateSystems.com) à Austin, Texas.Il a auparavant travaillé chez Winternals Software et comme responsable de programme pour Microsoft.Vous pouvez lui écrire à l'adresse technet@getwired.com.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.