L’écran d’accueil ou “Lock screen” a énormément évolué sous Windows 8, en plus de verrouiller le login il affiche des informations utiles (mails non lus, …) via des “raccourcis” !

Sur une tablette, cet écran pourrait avoir un sens, sur un PC Fixe ou Portable … celui-ci est sans doute limité … voyons donc comment le désactiver !

Lire la suite

Les fichiers ADM, sont des templates d’administration appliqués aux GPOs et permettant d’ajouter une série de paramètres à celles-ci.

Concrètement, une GPO est basée sur plusieurs fichiers ADM, ces fichiers ADM permettent un mapping entre (généralement) des clés registre et des items dans la console de Gestion des Stratégies de Groupe Active Directory.

Il est possible d’ajouter des items à cette console au travers de fichiers ADM personnalisés, cette solution permet dans l’exemple ci dessous de pouvoir configurer les mises a jour automatiques d’Adobe Reader 10.

Dans le cas du fichier ADM ci-dessous:

• On crée un “conteneur” : “Pierre Salvy ADM” contenant le conteneur : “Adobe Reader 10“, contenant le conteneur “Updates”
• le conteneur “Updates” contient quant à lui une entrée “AutoUpdates Config“
• l’entrée “AutoUpdates Config” permet la configuration de la clé registre : bUpdater située sous “SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockdown“

CLASS MACHINE
CATEGORY "Pierre Salvy ADM"
   CATEGORY "Adobe Reader 10"
      CATEGORY "Updates"
	POLICY "AutoUpdates Config"
	   KEYNAME "SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockdown"
           EXPLAIN !!DescbUpdater
	   PART "AutoUpdate State" DROPDOWNLIST REQUIRED
	      VALUENAME "bUpdater"
	      ITEMLIST
	         NAME "Disabled" VALUE NUMERIC 0
	         NAME "Enabled" VALUE NUMERIC 1
	      END ITEMLIST
	   END PART
	 END POLICY
	END CATEGORY
      END CATEGORY
END CATEGORY

[strings]
DescbUpdater="Enable or Disable Adobe Reader AutoUpdates"

Une fois le fichier ADM chargé de la façon suivante :

La console d’édition des stratégies de groupes contiendra une nouvelle entrée :

la clé registre ciblée aura donc la valeur affectée après application :

Nous avons donc ici modifié une clé registre au moyen d’une GPO.

Vous l’aurez compris; rien de bien compliqué d’après cet exemple ! (en dehors des fautes de syntaxe et de frappe !)

Dans certains cas, vous êtes contraint de rendre vos utilisateurs administrateurs de leurs postes de travail (compatibilité applicative, gestion des postes portables « hors réseau interne » , …), l’implémenter, c’est bien, mais correctement et de façon sécurisée, c’est mieux !

Plusieurs solutions s’offrent à vous, notamment la plus simple : créer un groupe d’utilisateurs, et l’intégrer par GPO au groupe Administrateur de chaque poste de travail grâce aux « Restricted Groups ».

Seconde solution ! Utiliser le compte NT « Interactif » et l’intégrer par GPO au groupe Administrateur de chaque poste de travail grâce aux « Restricted Groups ». En filtrant l’application de cette GPO (comme décrit dans cet article), vous pourrez gérer l’attribution des droits d’administration très finement.

Ce compte générique correspond utilisateurs interactifs, comprenez ceux qui ont une session ouverte, par opposition aux utilisateurs distants (RDP, …).

Donc concrètement, tout utilisateur connecté physiquement sur la machine en deviendra administrateur, sans que les autres utilisateurs (qui subiraient le même sort s’ils étaient connectés physiquement) ne puissent accéder aux partages administratifs, et autres configurations de la machine.

Créez une Stratégie de groupe (GPO) puis rendez-vous sous : Configuration Ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Groupes restreints.

Ajoutez l’utilisateur « BuiltIn\INTERACTIVE» au groupe « Builtin\Administrators », et le tour est joué !
Vous obtiendrez donc sur les postes, le groupe administrateur avec cette entrée en plus des entrées « standard » :

La stratégie résultante sur le poste (GPRESULT ou RSOP) contiendra alors :

Vous l’avez certainement lu dans un de mes précédent article (comment ça non ? tout est ici), Windows 8 introduit un nouveau format de package applicatif, le AppX !

J’abordais également dans un précédent article le fonctionnement d’AppLocker sous Windows 7.

Sous Windows 8, AppX et AppLocker sont implémentés et configurables ! Et aux fonctionnalités actuelles d’Applocker s’ajoutent la possibilité d’appliquer de nouvelles règles spécifiques aux packages AppX !

Vous pourrez donc par GPO (lorsque les consoles Windows 8 seront disponibles) ou via GPEDIT vous pouvez donc apercevoir un Item supplémentaire : AppX.

Ensuite, lorsque vous choisirez de créer une nouvelle règle (tel qu’expliqué dans cet article) portant sur un package AppX, vous aurez la possibilité de sélectionner un package AppX :

Vivement l’arrivée de Windows Server « 8 » et des consoles associées pour pouvoir profiter pleinement de toutes ces nouvelles fonctionnalités !

En ces temps de migrations vers Windows 7, il est parfois nécessaire de freiner les ardeurs de nos utilisateurs friands de nouveautés.

En effet, toute migration implique un travail d’accompagnement mais également un travail de gestion de la compatibilité de nos applications vers de nouvelles plateformes, que ce soit Windows 7 ou IE 9.

Afin de ne pas travailler la compatibilité sur tous les fronts : Applications lourdes, Applications Web, … il est donc parfois nécessaire de verrouiller une montée en version.

Dans notre cas nous allons verrouiller l’installation d’internet Explorer 9 sur nos postes Windows 7.

Afin de parvenir à ce verrouillage nous allons utiliser Applocker. L’implémentation d’Applocker est détaillée dans l’article suivant : ICI.

Internet Explorer 9 est fourni par Microsoft sous la forme d’un ou plusieurs Exe, comme nous l’avons vu précédemment les règles d’installation d’Applocker se basent uniquement sur des fichiers MSI et MSU, nous allons donc devoir procéder différemment.

La création d’une règle sur l’exécutable du setup nous permettra de verrouiller le setup, donc l’installation !

Pour cela rien de plus simple créons une nouvelle règle !

Rien de plus !

Applocker est une fonctionnalité de verrouillage d’application implémentée par Stratégies de Groupe (GPO) sous Windows 7. Cette nouveauté est comparable aux stratégies de restrictions logicielles implémentées précédemment et permet d’ajouter plus de finesse dans l’application des règles.

L’implémentation d’Applocker est relativement simplifiée par l’utilisation de GPO et se déroule en plusieurs étapes.

Création de la GPO :

Je vous épargne cet affront, la GPO à implémenter est une GPO standard, vous pouvez désactiver la configuration « Utilisateur » car seule la partie configuration « Ordinateur » nous sera utile.

Configuration d’Applocker :
La configuration d’Applocker se découpe en 3 parties :

• Le verrouillage des exécutables


• Le verrouillage des installations basées sur Windows Installer


• Le verrouillage de l’exécution de scripts

Lors de l’implémentation d’Applocker et afin de ne pas verrouiller l’exécution de toutes les applications de nos postes, il est nécessaire de créer un jeu de règles par défaut qui autoriseront certaines exécutions (vérifiez le détail dans les règles générées).

Ces règles seront créés de la façon suivante et sur chaque type de verrouillage (exécutables, installations, scripts):

Application des règles :

Une fois les règles par défaut en place il est nécessaire de procéder à l’application de celles-ci. Pour se faire, affichez les propriétés d’Applocker (clic droit/Propriétés sur Applocker) et choisissez la méthode d’application des règles :

Comme son nom l’indique, Appliquer les règles permet d’appliquer les règles définies alors qu’auditer permet d’appliquer les règles sans verrouillage effectifs, cette option permet de vérifier l’application des règles sur les postes cibles par la GPO.

Démarrage du service « Identité de l’application »:

Le service « Identité de l’application » est nécessaire au fonctionnement d’Applocker. Ce service est désactivé par défaut.

Afin de procéder à son activation vous pouvez intégrer ce paramètre à votre GPO Applocker. Pour cela :

Création de règles Applocker :

La création de règle est simplifiée par l’utilisation d’assistants, afin de créer une règle, il est possible de se baser sur différents points :

• Editeur, pour les applications disposant d’une signature numérique de l’éditeur.
• Chemin d’accès, pour un fichier ou un répertoire spécifique (si un répertoire est sélectionné, la règle s’applique à tous les fichiers se trouvant dans le répertoire).
• Hachage du fichier, cette option permet de créer une règle pour les applications non-signées (ne disposant pas de signature numérique).

Les règles que vous créerez dépendront ensuite de l’application que vous souhaiterez verrouiller, des articles suivront a ce sujet et concernant diverses applications.

En ces temps où les déploiements de Windows 7 tournent à plein régime, il est souvent necessaire de dédier certaines GPO à la configuration de ces postes sans impacter le reste du parc XP, serveur 2003 et 2008,… (Attention : Windows 2000 ne supporte pas les filtres WMI)

Pour cela l’implémentation de filtres WMI nous simplifiera la tâche !

Petite explication :

• Au travers de la console de Gestion des Stratégies de Groupes (GPMC.MSC) effectuez un clic droit sur “Filtres WMI” puis “Nouveau“
  
  
  


• Créez ensuite votre filtre WMI de la façon suivante :
  
  
  Requête : Select * from Win32_OperatingSystem where Version like “6.1%”
• Une fois le filtre créé, il suffit de s’en servir ! pour cela, créez votre GPO et selectionnez le filtre WMI créé.
  
  
  

La GPO ainsi filtrée ne sera appliquée que sur les postes Windows 7 .

Il est parfois nécessaire d’appliquer des permissions NTFS sur des dossiers locaux sur un parc de machines, et il est bien sûr inenvisageable de passer sur toutes les machines pour appliquer de telles permissions.

Oui, mais comment faire ? … Comme toujours, c’est simplissime ! (enfin… si on nous montre comment faire…)

Créez une nouvelle stratégie de groupe (GPO) puis rendez-vous sous :

• Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Système de fichier
  
  
  
• Effectuez un clic droit puis Ajouter un fichier. Puis selectionnez le fichier, le dossier ou le lecteur auquel vous souhaitez appliquer de nouvelles permissions NTFS.
  
  
  
• Validez puis modifier l’ACL en fonction de vos besoins.
  
  
  
• Validez puis Choissisez la methode de propagation des permissions modifiées