[GPO/AD/Citrix] Empêcher l'utilisateur de lancer des applis...

Empêcher l'utilisateur de lancer des applis... [GPO/AD/Citrix] - Windows & Software

Marsh Posté le 01-07-2004 à 10:04:46    

Bon, suite à la question que j'avais posée dans l'autre topic, j'ai donc mis en place pas mal de stratégies AD afin de mieux protéger mes serveurs Citrix.  
 
Reste un petit problème que j'aimerais bien pouvoir résoudre. Autant la commande Exécuter est désactivée, autant rien n'empêche actuellement les utilisateurs de prendre un exécutable téléchargé sur internet, et de le lancer depuis l'explorateur windows que j'ai publié. J'ai vu quelques stratégies qui pourraient permettre de limiter cela, mais ça a l'air assez lourdingue.  
 
Alors avez-vous des idées ? Certains d'entre vous ont-ils mis ça en place ? Comment ?

Reply

Marsh Posté le 01-07-2004 à 10:04:46   

Reply

Marsh Posté le 06-07-2004 à 07:44:33    

up

Reply

Marsh Posté le 06-07-2004 à 08:07:43    

Hello,
 
J'ai bridé une seule fois une machine mais c'était en local donc pas par AD... j'ai simplement supprimé les droits d'execution sur le disque D:\ où les gens mettaient leur merdier... ça marche


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 06-07-2004 à 15:33:17    

Tu as fait quoi ? Une stratégie ? Ou bien c'est au niveau des sécurités NTFS que tu l'as fait ?

Reply

Marsh Posté le 06-07-2004 à 15:53:43    

Le droit d'execution c au niveau NFTS que ca se règle mais attention ca peut etre lourdingue si ca t'empeche "d'executer" des doc excel ou word par ex ...

Reply

Marsh Posté le 06-07-2004 à 16:19:53    

j'ai fais ça au niveau des stratégies NTFS, c'est juste que le mec ne peux plus executer les .exe, .bat etc etc

Reply

Marsh Posté le 06-07-2004 à 18:27:34    

Eh oui, là c'est totalement lourdingue effectivement. Pas faisable.
 
Il me faudrait au moins une méthode pour interdire certains EXE que j'ai déjà identifiés...

Reply

Marsh Posté le 06-07-2004 à 22:30:04    

tu peux gerer les permissions ntfs avec les GPO.
 
sinon tu a aussi une nouvelle section sur les GPO 2003, "software restriction policies" qui pourrait t'aider, on peut filtrer quels executables sont autorisés a etre executés ou non avec precision entre autres grace a ca.
 
ptete ca peut t'aider a toi de voir.


Message édité par knives le 06-07-2004 à 22:32:20
Reply

Marsh Posté le 06-07-2004 à 22:44:40    

de tete : il yb a une strategie qui n'authorise a utilise que les programmes que tu as choisi
 
un peu lourd mais dans le cas d'un bureau publie ca doit etre jouable.
 
sinon pour des exe qui ont besoin d'une install les user devrait pas pouvoir les installer car il n'ont pas les droit (ca peu marche avec des msi) a confirmer
 
reste les programmes qui tournent sans install, mais ceux la ne sont pas tres grave car non destabilisant pour le systeme
 
edit : il y a une difference entre la gestion de restriction d'appli entre 2000 et 2003. ils ont ameliore un peu dans  2003 car microsoft c'est bien rendu compte que c'etait lourd ;)


Message édité par boisorbe le 06-07-2004 à 22:46:38

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 07-07-2004 à 08:52:14    

J'ai effectivement repéré la stratégie n'authorisant qu'à exécuter certaines applications, mais ça m'a vraiment l'air très lourd à gérer.
 
Pour les install, pas de problème évidemment, les utilisateurs n'ont pas de droits d'installation. Le problème ce sont justement les applis sans install. Je ne peux pas me permettre de les laisser exécuter tout et n'importe quoi.
 
Par contre, je vais en profiter pour poser une autre question, qui pourrait déjà m'aider : si je ne peux pas restreindre, il faudrait déjà que je puisse contrôler. Je voudrais savoir si il existe un soft ou une méthode qui me permettrait de garder une trace de tous les EXE lancés sur une machine, avec le nom de l'utilisateur rattaché. Ca me permettrait de contrôler régulièrement, pour commencer, et de tirer les oreilles aux contrevenants.

Reply

Marsh Posté le 07-07-2004 à 08:52:14   

Reply

Marsh Posté le 07-07-2004 à 09:40:04    

tu peux activer l'audit process tracking dans les policy d'audit avec les GPO, attention ca va remplir ton journal d'evenement.
on doit aussi surement pouvoir auditer plus finement sur des repertoires precis, j'ai jamais essayé mais bon a voir.
 
sinon regarde de plus pres car la strat pour limiter les appli sur 2003 n'est pas si compliqué que ca, du moin pour une utilisation basique. laisse tomber les hash, certificates et internet zone et regarde ce qui concerne path rule.

Reply

Marsh Posté le 07-07-2004 à 13:35:54    

Ah bah voilà qui peut être intéressant. Je vais déjà tester ça pour voir ce que ça donne. Je ferai aussi un petite recherche sur "path rule".  
 
Si quelqu'un d'autre a des idées et du vécu sur ma problématique, n'hésitez pas :D

Reply

Marsh Posté le 10-07-2004 à 19:08:19    

empecher le telechargement des .exe & co sur IE pour ta ferme citrix ;)
 
Avec Citrix, faut savoir faire des concessions ... déjà en publiant l'explorateur ... :'(

Reply

Marsh Posté le 10-07-2004 à 19:48:38    

Wolfman a écrit :

Ah bah voilà qui peut être intéressant. Je vais déjà tester ça pour voir ce que ça donne. Je ferai aussi un petite recherche sur "path rule".  
 
Si quelqu'un d'autre a des idées et du vécu sur ma problématique, n'hésitez pas :D


 
Utilise l'utilitaire appsec.exe (présent dans le Resource Kit Win 2000 server), tu l'installes sur les serveurs de ta ferme et tu n'autorises que les applications principales utilisées par tes utilisateurs (word, excel, outlook.......). Cet utilitaire a aussi une fonction intéréssante qui permet de savoir quels sont tous les exécutables utilisés pour une application précise.


Message édité par flashy_fiber le 18-07-2004 à 17:42:55
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed