Empêcher l'utilisateur de lancer des applis... [GPO/AD/Citrix] - Windows & Software
Marsh Posté le 06-07-2004 à 15:33:17
Tu as fait quoi ? Une stratégie ? Ou bien c'est au niveau des sécurités NTFS que tu l'as fait ?
Marsh Posté le 06-07-2004 à 15:53:43
Le droit d'execution c au niveau NFTS que ca se règle mais attention ca peut etre lourdingue si ca t'empeche "d'executer" des doc excel ou word par ex ...
Marsh Posté le 06-07-2004 à 16:19:53
j'ai fais ça au niveau des stratégies NTFS, c'est juste que le mec ne peux plus executer les .exe, .bat etc etc
Marsh Posté le 06-07-2004 à 18:27:34
Eh oui, là c'est totalement lourdingue effectivement. Pas faisable.
Il me faudrait au moins une méthode pour interdire certains EXE que j'ai déjà identifiés...
Marsh Posté le 06-07-2004 à 22:30:04
tu peux gerer les permissions ntfs avec les GPO.
sinon tu a aussi une nouvelle section sur les GPO 2003, "software restriction policies" qui pourrait t'aider, on peut filtrer quels executables sont autorisés a etre executés ou non avec precision entre autres grace a ca.
ptete ca peut t'aider a toi de voir.
Marsh Posté le 06-07-2004 à 22:44:40
de tete : il yb a une strategie qui n'authorise a utilise que les programmes que tu as choisi
un peu lourd mais dans le cas d'un bureau publie ca doit etre jouable.
sinon pour des exe qui ont besoin d'une install les user devrait pas pouvoir les installer car il n'ont pas les droit (ca peu marche avec des msi) a confirmer
reste les programmes qui tournent sans install, mais ceux la ne sont pas tres grave car non destabilisant pour le systeme
edit : il y a une difference entre la gestion de restriction d'appli entre 2000 et 2003. ils ont ameliore un peu dans 2003 car microsoft c'est bien rendu compte que c'etait lourd
Marsh Posté le 07-07-2004 à 08:52:14
J'ai effectivement repéré la stratégie n'authorisant qu'à exécuter certaines applications, mais ça m'a vraiment l'air très lourd à gérer.
Pour les install, pas de problème évidemment, les utilisateurs n'ont pas de droits d'installation. Le problème ce sont justement les applis sans install. Je ne peux pas me permettre de les laisser exécuter tout et n'importe quoi.
Par contre, je vais en profiter pour poser une autre question, qui pourrait déjà m'aider : si je ne peux pas restreindre, il faudrait déjà que je puisse contrôler. Je voudrais savoir si il existe un soft ou une méthode qui me permettrait de garder une trace de tous les EXE lancés sur une machine, avec le nom de l'utilisateur rattaché. Ca me permettrait de contrôler régulièrement, pour commencer, et de tirer les oreilles aux contrevenants.
Marsh Posté le 07-07-2004 à 09:40:04
tu peux activer l'audit process tracking dans les policy d'audit avec les GPO, attention ca va remplir ton journal d'evenement.
on doit aussi surement pouvoir auditer plus finement sur des repertoires precis, j'ai jamais essayé mais bon a voir.
sinon regarde de plus pres car la strat pour limiter les appli sur 2003 n'est pas si compliqué que ca, du moin pour une utilisation basique. laisse tomber les hash, certificates et internet zone et regarde ce qui concerne path rule.
Marsh Posté le 07-07-2004 à 13:35:54
Ah bah voilà qui peut être intéressant. Je vais déjà tester ça pour voir ce que ça donne. Je ferai aussi un petite recherche sur "path rule".
Si quelqu'un d'autre a des idées et du vécu sur ma problématique, n'hésitez pas
Marsh Posté le 10-07-2004 à 19:08:19
empecher le telechargement des .exe & co sur IE pour ta ferme citrix
Avec Citrix, faut savoir faire des concessions ... déjà en publiant l'explorateur ...
Marsh Posté le 10-07-2004 à 19:48:38
Wolfman a écrit : Ah bah voilà qui peut être intéressant. Je vais déjà tester ça pour voir ce que ça donne. Je ferai aussi un petite recherche sur "path rule". |
Utilise l'utilitaire appsec.exe (présent dans le Resource Kit Win 2000 server), tu l'installes sur les serveurs de ta ferme et tu n'autorises que les applications principales utilisées par tes utilisateurs (word, excel, outlook.......). Cet utilitaire a aussi une fonction intéréssante qui permet de savoir quels sont tous les exécutables utilisés pour une application précise.
Marsh Posté le 01-07-2004 à 10:04:46
Bon, suite à la question que j'avais posée dans l'autre topic, j'ai donc mis en place pas mal de stratégies AD afin de mieux protéger mes serveurs Citrix.
Reste un petit problème que j'aimerais bien pouvoir résoudre. Autant la commande Exécuter est désactivée, autant rien n'empêche actuellement les utilisateurs de prendre un exécutable téléchargé sur internet, et de le lancer depuis l'explorateur windows que j'ai publié. J'ai vu quelques stratégies qui pourraient permettre de limiter cela, mais ça a l'air assez lourdingue.
Alors avez-vous des idées ? Certains d'entre vous ont-ils mis ça en place ? Comment ?