Bon, suite à la question que j'avais posée dans l'autre topic, j'ai donc mis en place pas mal de stratégies AD afin de mieux protéger mes serveurs Citrix.  
 
Reste un petit problème que j'aimerais bien pouvoir résoudre. Autant la commande Exécuter est désactivée, autant rien n'empêche actuellement les utilisateurs de prendre un exécutable téléchargé sur internet, et de le lancer depuis l'explorateur windows que j'ai publié. J'ai vu quelques stratégies qui pourraient permettre de limiter cela, mais ça a l'air assez lourdingue.  
 
Alors avez-vous des idées ? Certains d'entre vous ont-ils mis ça en place ? Comment ?

up

Hello,
 
J'ai bridé une seule fois une machine mais c'était en local donc pas par AD... j'ai simplement supprimé les droits d'execution sur le disque D:\ où les gens mettaient leur merdier... ça marche

Tu as fait quoi ? Une stratégie ? Ou bien c'est au niveau des sécurités NTFS que tu l'as fait ?

Le droit d'execution c au niveau NFTS que ca se règle mais attention ca peut etre lourdingue si ca t'empeche "d'executer" des doc excel ou word par ex ...

j'ai fais ça au niveau des stratégies NTFS, c'est juste que le mec ne peux plus executer les .exe, .bat etc etc

Eh oui, là c'est totalement lourdingue effectivement. Pas faisable.
 
Il me faudrait au moins une méthode pour interdire certains EXE que j'ai déjà identifiés...

tu peux gerer les permissions ntfs avec les GPO.
 
sinon tu a aussi une nouvelle section sur les GPO 2003, "software restriction policies" qui pourrait t'aider, on peut filtrer quels executables sont autorisés a etre executés ou non avec precision entre autres grace a ca.
 
ptete ca peut t'aider a toi de voir.

de tete : il yb a une strategie qui n'authorise a utilise que les programmes que tu as choisi
 
un peu lourd mais dans le cas d'un bureau publie ca doit etre jouable.
 
sinon pour des exe qui ont besoin d'une install les user devrait pas pouvoir les installer car il n'ont pas les droit (ca peu marche avec des msi) a confirmer
 
reste les programmes qui tournent sans install, mais ceux la ne sont pas tres grave car non destabilisant pour le systeme
 
edit : il y a une difference entre la gestion de restriction d'appli entre 2000 et 2003. ils ont ameliore un peu dans  2003 car microsoft c'est bien rendu compte que c'etait lourd

J'ai effectivement repéré la stratégie n'authorisant qu'à exécuter certaines applications, mais ça m'a vraiment l'air très lourd à gérer.
 
Pour les install, pas de problème évidemment, les utilisateurs n'ont pas de droits d'installation. Le problème ce sont justement les applis sans install. Je ne peux pas me permettre de les laisser exécuter tout et n'importe quoi.
 
Par contre, je vais en profiter pour poser une autre question, qui pourrait déjà m'aider : si je ne peux pas restreindre, il faudrait déjà que je puisse contrôler. Je voudrais savoir si il existe un soft ou une méthode qui me permettrait de garder une trace de tous les EXE lancés sur une machine, avec le nom de l'utilisateur rattaché. Ca me permettrait de contrôler régulièrement, pour commencer, et de tirer les oreilles aux contrevenants.

tu peux activer l'audit process tracking dans les policy d'audit avec les GPO, attention ca va remplir ton journal d'evenement.
on doit aussi surement pouvoir auditer plus finement sur des repertoires precis, j'ai jamais essayé mais bon a voir.
 
sinon regarde de plus pres car la strat pour limiter les appli sur 2003 n'est pas si compliqué que ca, du moin pour une utilisation basique. laisse tomber les hash, certificates et internet zone et regarde ce qui concerne path rule.

Ah bah voilà qui peut être intéressant. Je vais déjà tester ça pour voir ce que ça donne. Je ferai aussi un petite recherche sur "path rule".  
 
Si quelqu'un d'autre a des idées et du vécu sur ma problématique, n'hésitez pas

empecher le telechargement des .exe & co sur IE pour ta ferme citrix
 
Avec Citrix, faut savoir faire des concessions ... déjà en publiant l'explorateur ...

 
Utilise l'utilitaire appsec.exe (présent dans le Resource Kit Win 2000 server), tu l'installes sur les serveurs de ta ferme et tu n'autorises que les applications principales utilisées par tes utilisateurs (word, excel, outlook.......). Cet utilitaire a aussi une fonction intéréssante qui permet de savoir quels sont tous les exécutables utilisés pour une application précise.