Bonjour à tous,  
 
Je suis devant une problématique que je n'arrive pas à résoudre : peut-être pourrais-je être éclairé ici par vos lumières...    
 
Voilà, je gère un parc de près de 1500 ordinateurs (lycées et collèges) et, afin de faciliter la maintenance, ceux-ci sont sécurisés au maximum (enfin, je le pensais).
Concrètement, les postes sont sous XP PRO et se connectent à un serveur de fichier samba lenny 5.0.
J'ai déployé des clés de bases de registres afin de minimiser les risques : seuls les lecteurs réseaux sont accessibles, le c:\ ne peut être atteint, les commandes ms-dos non plus, bref tout accès de config est bloqué, seuls les softs utiles sont laissé accessibles...
 
Hors, des petits malins sont tout de même réussi à me pirater tout le système : ils ont réussi à éteindre tout un tas de machines à distance, m'ont flingué pas mal dll systèmes, etc...
 
Ils ont réussi cela en passant par Mozilla Firefox car, même avec un os complètement verrouillé, avec Firefox, on atteint sans problème tout ce qu'on veut en tapant seulement c: dans la barre d'adresse... On "télécharge" ensuite le fichier intéressant sur c:, on le lance et hop, on a la main sur tout.
 
Ma problématique est donc la suivante :
 
1. Je veux garder absolument Firefox
2. Je ne veux pas de logiciels tiers, ni plug-ins
3. Je veux empêcher Firefox de pouvoir télécharger des fichiers sur le c:\ (comme cmd.exe par exemple, avec qui ils arrivent à faire pas mal de choses)
 
Donc, en gros, soit je veux trouver une solution pour interdire de pouvoir lancer un .exe (mais pas tous, ils faut bien qu'ils puissent lancer leur soft)
Soit, je veux bloquer tout téléchargement sur FF  
Soit je veux empêcher FF d'accéder au c via file:///c: dans la barre d'adresse
 
Et bien entendu, je veux pouvoir le déployer en masse facilement (je vais pas passer sur 1500 postes...)  
 
Mais je sèche complètement pour savoir comment m'y prendre alors j'attends avec impatience vos avis éclairés -

Comment on éteint des postes via le réseau simplement en accédant à la partition système de son propre poste ?
 
Avec un tel symptôme, le mal semble dépasser Firefox !
 
Ensuite, il sera difficile sous XP de verrouiller à 100%.
Aussi il convient ici de punir les coupables.
 
Avez-vous une Charte sur l'informatique qui expose clairement que tenter d'outrepasser les sécurités est punissable ? Que nuire au fonctionnement du système ou du réseau l'est aussi ?
Techniquement, chaque user dispose t'il de son propre compte ? Avez-vous un log des ouvertures/fermetures de session ?
Avec les extinctions de poste (des "shutdown " j'imagine), as-tu repéré la date et la source de la commande ?

 
Lu'
 
Bien sûr, les coupables ont été identifiés (facilement avec les logs du samba) et punis...
 
Nonobstant, je voulais tout de même sécuriser cela afin d'éviter à tous ce genre de désagrément : charte ou pas, il y aura toujours des dérapages... A nous aussi d'éviter de laisser trop de failles...
 
A ta question, ils ont tout simplement "téléchargé" le cmd.exe dans windows\system32 via firefox (il était impossible de le choper autrement) et ils ont fait un net view pour ensuite balancer le shutdown aux machines qu'ils voulaient.
 
Bref, cela ne résous pas mon problème et je reste persuadé qu'il y a une solution pour empêcher cela à l'avenir.
J'ai bien pensé à balancer une clé DisallowRun via un bat de logon mais, si cela fonctionne nickel sur une session locale, ça foire sur les clients du samba...
 
J'y cogite de mon côté mais je ne serai pas contre un peu d'aide

Il faut que tu arrêtes de donner les droits administrateur aux élèves.
Je sais que c'est encore la règle dans beaucoup d'ateliers TICE mais c'est une erreur.

 
 
Oui mais là tu comprends que le problème ne se situe pas qu'au niveau des droits locaux ?
 
Un élève ne devrait pas pouvoir initier un shutdown sur un autre poste avec son compte !
 
Ensuite, sécuriser un XP est possible mais ce ne sera jamais parfait. Voilà pourquoi j'invite à faire passer le message aux élèves que ce n'est pas open bar et que le seul fait de tenter est punissable.
L'élève doit abandonner l'idée d’exécuter un .bat avant même de butter contre une éventuelle impossibilité technique.

 
Les élèves n'ont pas les droits admin : ce sont des comptes très limités avec des clés de restrictions qui sont balancés à l'entrée en session en fonction du profil.
C'est du Sambaedu3, si tu connais... Le hic, c'est qu'en ayant la main sur les outils qui sont sur c:\windows, avec un peu d'astuce, on contourne tout... Pour shutdown en compte limité, il suffit d'utiliser cpau et autoit et ça roule...
Puisque les clés usb ont été bloquées sur toutes les machines sur les comptes élèves, il n'y a que par téléchargement qu'ils récupèrent cela : je veux interdire le téléchargement d'exe, rar, zip, jar pour FF. J'ai réussi sous IE, je n'y arrive pas sous FF.
 

 
Je comprends bien mais nous ne sommes pas dans le monde des bisounours et, malgré une information sévère et poussée dispatchée régulièrement, il y aura toujours des gus qui tenteront l'aventure... Par défi ou par connerie, appelle cela comme tu veux, mais cela arrivera... Je veux empêcher cela...
 
Maintenant, je comprends bien qu'il est impossible de sécuriser XP totalement mais je souhaite tout de même parvenir à quelque chose de potable.
 
Je ne veux pas agir par la répression genre "si-tu-fais-ça-t'es-puni", ce sont des adultes pour la plupart tout de même !! Et puis c'est une solution de facilité qui ne me convient absolument pas... Je veux agir par l'impossibilité genre "si-tu-fais-ça, t'es-bloqué-tu-peux-pas"
 
C'est clair qu'on pourrait débattre là dessus un bout de temps et je comprends ton point de vue mais pour le moment, je cherche une solution technique à mon problème : si tu as des idées, je suis preneur    
 
 
 
 
 

de toute façon, tu a 6 mois pour virer XP, autant commencer le plus vite

Non car Sambaedu3 est 100% incompatible avec 8 pour le moment et présente des soucis d'instabilité réseau avec 7...
 
Par ailleurs, nombre d'appli péda ne fonctionnent QUE sous XP.
 
Donc, pas prévu de passer les clients sur un autre os à court terme, plutôt à moyen terme.
 
Actu, mon souci n'est toujours pas résolu

tout tes soucis seront résolu le 07.04.2014 quand tout tes ordi seront vérolé alors.

Je crois qu'on ne se comprend pas au niveau technique et humain.

Au niveau technique, je t'expose que stopper un poste distant réclame plus qu'un accès au C: et le lancement d'un .bat. Cela requière des droits admin sur le poste distant en question !
Ici le manque de sécu dépasse la clé de registre.

Au niveau humain, informer et sanctionner n'est pas la solution de facilité. Au contraire, c'est bien poser une clé dans la BDR qui est la solution de facilité.
Informer et sanctionner, c'est nettement plus difficile car cela requière plus d'intervenants, de la communication, de la pédagogie et des rapports humains.

Mais pour faire un parallèle, tu ne vas pas dans une école supprimer les vitres et blinder les portes sous prétexte que les élèves (adultes ou pas) les défoncent à coups de pieds.
Tu fais en sorte que cela soit un minimum costaud mais ce qui va empêcher que tout parte à vau-l'eau c'est bien la contrainte sociale !

 
Merci de ton aide... Mais fallait juste dire : "je sais pas faire..." C'tout...    
 

 
J'ai très bien compris ton point de vue... Mais inutile de vouloir me l'impulser : ma hiérarchie m'a imposé ce que j'ai exposé plus haut et je n'ai pas à revenir dessus...
 

 
Ce n'est pas aussi simpliste... Et je t'assure qu'on peut lancer à distance une extinction de machine, même si celle-ci n'est pas encore sur une session ! Même si celle-ci n'est pas en admin mais en compte limité... Bref... Je vais pas te faire un cours là dessus, ce n'est pas le sujet.
 

 
Cela sort complètement du contexte de la problématique, même si je ne suis pas contre le fond de ton propos... Ceci étant, je gère seul un parc d'environ 1500 postes avec des directives hiérarchiques précises que je n'ai pas à polémiquer. J'ai une action à réaliser et je sèche.
 
Mon problème reste donc entier...
 
Sinon, plutôt que de philosopher sur la pédagogie impulsée dans les établissement scolaires, as-tu une réponse technique concrète à m'apporter ?
 

Moi c'était du Kwartz, académie de Lille oblige.

J'ai regardé vite fait cpau, c'est comme runas cela permet lancer un programme avec les droits d'un autre compte. Mais encore faut-il connaitre le login et mot de passe de celui-ci.
Or si tes élèves ont découvert les identifiants d'un compte avec droits administrateur, tu auras beau mettre toutes les protections possibles... cela ne servira à rien.

 
C'est ce que j'ai pensé : j'ai changé les mdp des admins déjà...    Y'en avait pas des masses : j'ai que 3 comptes qui ont les droits admin
 
Mais bon, apparemment ils sont passés par des outils wakeonlan plus poussés qui permettent l'extinction dès l'instant où on connait l'adresse mac de la machine. Suffit qu'ils aient la possibilité de dl le soft sur le session et c'est bon. C'est une des raisons pour laquelle je veux sécuriser ça...
Après, le listing des adresses mac sur le réseau, dès qu'on a la possibilité de lancer le cmd, ça pose pas de prob malheureusement...

Sauf qu'il a raison. En 2014, plus de support étendu pour XP. Donc plus de corrections des failles de sécu.
Au premier virus qui exploite une nouvelle faille de sécu, cela va être le gros gros bordel.

C'est moi qui vais t'instruire si tu permets : sauf droit admin sur la machine distante ou trojan, il n'est pas possible d'éteindre un poste distant.
Si on éteint un poste distant via un .bat, peut importe qu'il contienne un runas ou assimilé, c'est qu'on détient le login/mdp d'un compte qui a les droits admin sur le poste distant.
Va falloir s'intéresser à ce problème.

Non cela ne sort pas de la problématique. C'est en réalité LA problématique !
Moi lorsqu'on me demande un mauvais conseil, je préfère en apporter un bon ou rien du tout.
Et j'ai géré pendant plusieurs années un parc info d'établissement d'enseignement public.
A ta hiérarchie, il faut expliquer qu'un XP cela ne se blinde pas à 100% et que la vrai barrière c'est l'humain. Tu peux reprendre mon analogie sur les portes et fenêtres, c'est cadeau.
Au passage, n'oublie pas de glisser que XP est à changer fissa; il en va de ta responsabilité.
Et si t'es tout seul et que tu ne suffis pas, t'indique que le boulot réclame plus de ressources, internes ou externes.
Tout ça par écrit.
Après la direction décide ce qu'elle veut, elle l'assumera en connaissance de cause.

 
Le wakeonlan, c'est pour lancer un poste. Impossible de l'éteindre.
Et ca se gère dans le BIOS (protégé par mdp bien sûr).

si aujourd’hui, tu lute avec des petit étudiants, je sent que ça va être beau dans 6 mois avec de vrais hacker....

Je maintiens qu'il est possible d'éteindre à distance pour peu que cela ne soit pas bloqué sur gpedit -> j'ai d'ailleurs été fouillé ça par rapport à ce que tu m'as dit et, après conf, l'extinction à distance n'est maintenant plus faisable. J'ai déployé ça en masse sur mon parc : déjà ça de fait.
Maintenant, il est toujours possible d'accéder au c: et y faire ce que l'on veut via FF
 
Bref, c'est bien joli tous vos posts mais cela ne m'aide pas un poil de cul.
 
Vous n'avez pas la solution technique à mon souci : ok, je le conçois mais pas la peine de noyer le poisson à ce point...
Maintenant, virer 1500 postes en XP PRO, virer le sambaedu3 (car non parfaitement compatible avec 7 ou 8), non pas que cela ne se fera pas... mais sur du court terme, c'est impossible.
Ensuite, contester directement un ordre de sa hiérarchie sous prétexte de belles théories pédagogiques utopiques, je sais pas dans quel monde tu vis mais perso, c'est la porte direct (sauf si tu es fonctionnaire, là effectivement, tu pourras jamais être à la porte   et donc tu peux te permettre pas mal de choses)
Donc actu j'ai une mission à accomplir : je vais me démerder tout seul car je perds plus de temps en ce moment à répondre à vos propos qui je vous le rappelle ne sont pas dénués de sens mais irréalisables IRL...
 
 
 
 

Je ne connais pas personnellement la réponse à ta question, mais une rapide recherche google donne les résultats suivants :
 
- http://social.technet.microsoft.co [...] ing-drives (la deuxième solution en rouge)
- https://support.mozilla.org/fr/questions/945097
- http://superuser.com/questions/304 [...] in-firefox
 
Si rien de tout ça ne t'aide, pose la question sur le forum spécialisé Mozilla : http://forums.mozfr.org/viewforum. [...] 97ead9bbd8

si tu les eleves sont admin des machines, il leur suffit de lancer "

et il fait ce qu'il veut.  (peut être ont il trouvé un mot de passe ? )

je crois que ça a déjà été dit, mais la sécurité ne se limite pas a cacher les choses, il faut les rendre inutilisable.

 
T'es gentil mais IRL j'y suis et à un autre niveau maintenant.
 
Primo, on n'éteint pas un poste à distance via wakeonlan ou simple lancement de process sur son poste. Il faut les droits admin sur le poste distant ou un process en écoute. N'hésite pas à me rabattre la caquet en m'indiquant comment faire. J'attends.
Sinon, prends enfin ce sujet au sérieux. Sinon cela signifie peut-être que tes users eux ont plus de connaissances que toi.
 
Secundo, il faut lire ou relire avec les deux yeux. Je n'indique pas de s'opposer à sa hiérarchie mais de faire son boulot (et au passage de se protéger) en prodiguant conseils et avertissements : XP HS dans quelques mois, XP pas sécurisable à 100%. Nécessité de lutter contre les tentatives de piratages via informations et sanctions.

Au passage, je vérifierai la présence ou non sur les postes de trojan et qu'ils sont à jour niveau MAJ. D'ici à ce que la faille exploité par Blaster en 2003 soit toujours pas patchée ...

la en effet, si il tournent depuis 2003 avec des saloperie, 2014 ne verra pas trop de changements ^^
 
Les virus vont peut être s'auto-éradiquer  

 
 
Mille mercis pour ton efficacité : j'ai comblé la faille et cela empêche complètement la possibilité de naviguer sur les hdd avec FF
Je viens de déployer cela en masse et fait quelques tests : tout est ok.
 
Il s'agissait "juste" d'ajouter ces quelques lignes dans le fichier de conf de FF
 

 
Merci encore à toi, je note ma problématique comme résolue    
 

N’hésite pas a uper ton topic des que les élèves auront trouvé l'astuce.
 
d'ailleurs, ils sont peut être sur HFR  ^^

 
bah s'ils peuvent éteindre un poste à distance, je pense qu'ils en ont rien à carrer de Firefox

si ils peuvent syntoniser c'est normal