Hotline pc one faq windows  
Hotline pc line
Hotline PC - contact Hotline PC - Vista Hotline PC - Windows XP Hotline PC - dossiers Hotline PC - registre Hotline PC - reseaux Hotline PC - applications Hotline PC - ms-dos Hotline PC - gravure Hotline PC - autres
Google
 
Forum
Fonds d'écran
Sonneries
Sonneries


Les restrictions logicielles

Dernière mise à jour : 30/08/2006

Pages complémentaires : sécurité du système.

Appliquer des restrictions logicielles

Sous Windows XP Édition Professionnelle, cette stratégie vous permet d'interdire l'ouverture des logiciels désignés par le biais de leurs extensions, soit à l'ensemble des utilisateurs soit seulement à ceux qui ne sont pas administrateurs.

  • Parcourez, dans l'éditeur de stratégie de groupe, cette arborescence : Stratégie ordinateur local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies de restriction logicielle.
  • Double-cliquez sur Contrôle obligatoire.
  • Cochez le bouton radio Tous les fichiers logiciels à l'exception des bibliothèques (tels que les fichiers DLL).
  • En dessous, choisissez si vous voulez que votre stratégie s'applique à l'ensemble des comptes ou uniquement aux comptes non administrateurs.
  • Double-cliquez sur la branche Niveaux de sécurité puis sur Rejeté.
  • Cliquez sur le bouton Par défaut et répondez par Oui au message d'avertissement.
  • Double-cliquez sur la branche Type de fichiers désignés.

Toutes les extensions de fichiers bloqués et les programmes correspondants auxquels vous ne pourrez plus accéder sont listés. Il vous est possible d'ajouter un type de fichier en entrant son extension dans la zone de texte Extension du fichier.
En tapant : doc puis en cliquant sur Ajouter, vous interdirez toute utilisation des fichiers Word…
L'utilisateur lambda aura comme message d'erreur : Windows ne peut pas ouvrir ce programme car il en a été empêché par une stratégie de restriction logicielle…
À l'inverse, vous pouvez sélectionner une extension de fichier et cliquer sur le bouton Supprimer pour en autoriser l’accès. Vous devez fermer les sessions ouvertes afin que cette stratégie puisse s'appliquer.


Créer des règles supplémentaires dans les stratégies de restrictions logicielles

  • Cliquez sur Démarrer/Exécuter puis saisissez : gpedit.msc
  • Ouvrez Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies de restriction logicielle.
  • Avec le bouton droit de la souris, cliquez sur le dossier Règles supplémentaires puis dans le sous-menu de votre choix.

Elles sont au nombre de quatre : Nouvelle règle de certificat - Nouvelle règle de hachage - Nouvelle règle de zone Internet - Nouvelle règle de chemin d'accès.
Si vous lancez un des ces assistants, il vous est possible de choisir, dans la liste déroulante Niveau de sécurité :, l' une des options Rejeté ou Non restreint. Aucun utilisateur n'aura accès à l'objet que vous définissez sur le mode Rejeté, quels que soient ses droits d'utilisateurs.
Prenons un exemple simplifié :

  • Avec le bouton droit de la souris, cliquez sur le dossier Règles supplémentaires puis sur le sous-menu Nouvelle règle de hachage...
  • Cliquez sur le bouton Parcourir... et sélectionnez le fichier exécutable que vous souhaitez interdire.
  • Dans la liste déroulante Niveau de sécurité, cliquez sur Rejeté.

Il faut fermer la session de l'utilisateur pour que cette restriction soit opérationnelle. Imaginons que nous ayons sélectionné le fichier exécutable qui correspond au lancement d'un jeu, il ne sera plus possible à un utilisateur ne disposant pas de droits d'administrateurs de le lancer.
Examinons maintenant les différentes options :

  • Double-cliquez sur l'objet Contrôle obligatoire.

Il vous est possible d'appliquer les stratégies de restrictions logicielles à tous les fichiers logiciels, à l'exception des bibliothèques (tels que les fichiers DLL), ou à l'ensemble des fichiers. N'utilisez pas cette dernière option, qui alourdirait considérablement la vitesse d'exécution de votre système d'exploitation. De plus, la plupart des fichiers DLL sont partagés entre différentes applications. Aussi, de nombreuses autres applications "voisines" risqueraient, elles aussi, de se retrouver en carafe...
Vous pouvez appliquer les stratégies de restrictions logicielles à tous les utilisateurs excepté les administrateurs locaux ou à l'ensemble des "acteurs" de votre système. Là aussi, l'option par défaut est dans tous les cas préférable.

  • Double-cliquez sur l'objet Types de fichiers désignés.

Dans ce cas, il est simple d'ajouter ou de supprimer une extension de fichier comme expliqué précédemment.

  • Double-cliquez sur l'objet Éditeurs approuvés.

Afin de renforcer la sécurité de votre ordinateur, autorisez seulement les administrateurs de l'ordinateur local à sélectionner les éditeurs approuvés.
Il y a différentes manières de spécifier une restriction :

  • Nouvelle règle de certificat : cette restriction vérifie simplement qu'une application a été signée numériquement et si, donc, elle est autorisée à se lancer. L'utilité principale de ce type de certificat est de permettre à tout utilisateur d’installer un package Windows Installer qui a été signé numériquement ou d’exécuter un script considéré comme "sûr".
  • Nouvelle règle de hachage : une règle de hachage permet d'identifier une application. Un de ses avantages réside dans le fait que, si l'application est renommée ou même simplement déplacée, la règle de hachage suit "à la trace" l'application "vagabonde". En revanche, si l'application est mise à jour ou simplement modifiée, ce type de règle perd toute son efficacité...
  • Nouvelle règle de zone Internet : sert principalement à empêcher un utilisateur de télécharger et d'installer des logiciels installés par Windows Installer. On peut imaginer une règle qui interdirait à tout utilisateur de télécharger une application venant d'une zone différente de la zone Sites de confiance ou de l'Intranet.
  • Nouvelle règle de chemin d'accès : permet d'interdire l'exécution des fichiers en fonction de leur localisation dans l'Explorateur Windows. Les variables suivantes sont autorisées : %userprofile% - %windir% - %appdata% - %programfiles% - %temp%.

Par exemple, il est plus simple, plutôt que de spécifier l'interdiction de plusieurs applications présentes dans un dossier d'installation, d’interdire l'accès au dossier tout entier. L'emploi des jokers est autorisé. Signalons qu'il est possible de saisir une entrée du Registre en l'encadrant à l'aide du caractère %. Par exemple : %HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper%
Remarque : L'entrée visée doit être de type valeur chaîne ou valeur de chaîne extensible.
Voici un petit récapitulatif des possibilités au niveau des stratégies :

  • Autoriser ou restreindre une version spécifique d'un programme : créer une règle de hachage sur le fichier exécutable.
  • Identifier un programme toujours placé de la même façon : créer une règle de chemin d'accès en utilisant les variables d'environnement : %Program Files%\Internet Explorer\iexplore.exe
  • Identifier un programme pouvant être installé : créer une règle de chemin d'accès dans le Registre.
  • Identifier un script placé sur un réseau : créer une règle de chemin d'accès en spécifiant le chemin UNC.
  • Désactiver un fichier placé par un virus : créer une règle de chemin d'accès en pointant vers le fichier.

Remarque : Attention de bien désactiver toute possibilité de modifier les variables d'environnement, sans quoi il est facile de redéfinir une variable pointant sur l'emplacement de son choix.
L'ordre de préférence des règles est celui-ci : Hachage, Certificats, Chemin d'accès, Zone Internet, Règles par défaut. S'il y a plusieurs règles de chemin d'accès, la règle la plus "étroite" a la priorité sur les autres :

  • Lecteur:\Dossier1\Dossier2\Nom_Fichier.Extension
  • Lecteur:\Dossier1\Dossier2\*.Extension
  • *.Extension
  • Lecteur:\Dossier1\Dossier2
  • Lecteur:\Dossier1

Prenons maintenant un exemple pratique. Nous allons restreindre toute exécution de fichiers .reg, à l’exception des fichiers placés sur un serveur nommé Serveur1 :

    1. Créez tout d'abord une règle de chemin d'accès qui désactivera le lancement des fichiers .reg en indiquant ceci comme chemin d'accès : *.reg et en choisissant l'option Rejeté comme niveau de sécurité.
    2. Créez une seconde règle de chemin d'accès en spécifiant l'emplacement des fichiers .reg qui seront autorisés : \\Serveur1\Nom_Partage\*.reg

Nous autorisons les fichiers .reg exécutés à partir de la machine Serveur1.

    1. Spécifiez l'option Non restreint comme niveau de sécurité.

L'exécution des premiers fichiers engendrera ce message d'erreur : Windows ne peut pas ouvrir ce programme car il en a été empêché par une stratégie de restriction logicielle. En revanche, il vous sera possible, à partir d'un compte d'utilisateur restreint, d'exécuter les fichiers .reg provenant d'une source "sûre".

Forcer le lancement d'une application en mode restreint

Le principe de cette astuce est de démarrer un programme comme si vous étiez un utilisateur ne possédant que des droits limités. Cette mesure vous permet de réduire l'impact des risques de sécurité notamment quand vous surfez sur Internet. Puisque en tant qu'utilisateur restreint vous ne possédez qu'un champ d'action limité sur le système vous donnerez d'autant moins de prise à un possible programme malveillant. Un virus peut par exemple être programmé pour créer des fichiers dans le répertoire System32 ou désactiver le pare-feu de connexion Internet. Ces deux actions ne pourront pas être exécutées si l'utilisateur n'est pas un des administrateurs de l'ordinateur. Nous allons pour cela utiliser la technologie de stratégies de restriction logicielle nommée Safer (Software Restriction Policies) qui est disponible sur Windows XP et Serveur 2003. Voici un exemple d'application visant à forcer le lancement d'Internet Explorer en mode restreint et ce même si vous possédez un compte avec des privilèges d'administrateur :

  1. Dans l'éditeur du Registre ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers.
  2. Créez une nouvelle valeur DWORD nommée Levels.
  3. Éditez cette entrée puis saisissez comme données de la valeur hexadécimale ceci : 4131000

La valeur décimale sera donc celle-ci : 68358144.

  1. Ouvrez l'éditeur de stratégies de groupe en saisissant cette commande : gpedit.msc
  2. Parcourez cette arborescence : Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégie de restriction logicielle.
  3. Avec le bouton droit de la souris cliquez sur le dossier Règles supplémentaires puis sur la commande Nouvelle règle de chemin d'accès.
  4. Dans la zone de texte Chemin d'accès saisissez ceci : C:\Program files\Internet Explorer\iexplore.exe
  5. Dans la liste déroulante Niveau de sécurité sélectionnez l'option Utilisateur de base.
  6. Validez pour le reste puis redémarrez votre navigateur.

Vous pourrez constater en vous aidant d'un outil comme Process Explorer qu'à partir du moment que vous lancez Internet Explorer vous voilà redevenu un utilisateur de base :

  1. Ouvrez ce programme puis sélectionnez le processus que vous voulez analyser : iexplore.exe
  2. Cliquez sur l'onglet Security.

Le groupe BUILTIN/Administrateurs n'a pas reçu de jeton de sécurité et, logiquement, la liste de vos privilèges a fondu comme neige au soleil !


blog, bookmark, newsletter


abc-blagues - infopage - les societes - entrepreneurs de france - flashmeat topsitefr - radioduweb
c-rigolo - woopami - rire-et-sourire - pubstv - widouf - planete-nokia - streaming-fr

© 2001-2008 Hotline-PC.org. Tous droits réservés. Ce site fait régulièrement l'objet d'un marquage IDDN.IDDN Certification
Un site du réseau : 

Contact - Plan du site - Notice légale
Blog Bookmark Newsletter