L’EDITEUR de STRATEGIE SYSTEME ou POLEDIT

POLEDIT
Les trous de sécurité de Windows 95 & 98
Les procédures pour WINDOWS 98



POLEDIT

L’EDITEUR de STRATEGIE SYSTEME ou POLEDIT permet de restreindre les droits d’un utilisateur et/ou les fonctionnalités d’un ordinateur. POLEDIT est aussi appelé l’Editeur de Règles Système (System Policy Editor), il permet de restreindre les fonctionnalités de Windows (en fonction d’un profil utilisateur, d’un groupe d’utilisateur, ou d’un ordinateur) en créant des fichiers de règles (policy file).

POLEDIT est un utilitaire réseau qui permet de contrôler l’environnement : POLEDIT s’appelle aussi l’EDITEUR de STRATEGIE SYSTEME et toutes les modifications effectuées à l’aide de ce programme s’enregistrent directement dans la base de registre.

Les fichiers de règles « .POL » facilitent la gestion des environnements de plusieurs utilisateurs : Les fichiers de règles « .POL » doivent de préférences s’enregistrer dans un nom de dossier court (de moins de huit caractères) afin de pouvoir les manipuler plus facilement sous DOS.

Les fichiers de règles peuvent s’appliquer à un utilisateur (quelque soit l’ordinateur auquel il se connecte sur le réseau) ou à un ordinateur (quelque soit l’utilisateur qui s’y connecte). Les fichiers de règles concernant un utilisateur s’adresse à USER.DAT (la clef HKU ou HKCU du registre) et les fichiers de règles concernant l’ordinateur s’adresse à SYSTEM.DAT (la clef HKLM du registre).

Les fichiers de règles sont tous issus d’un même modèle « ADMIN.ADM » qui se trouve dans le répertoire suivant :
C:\WINDOWS\INF\ADMIN.ADM (Une fois POLEDIT installé)
X:\TOOLS\RESKIT\NETADMIN\POLEDIT (Sur le CDROM d’installation de Windows 98 )
Microsoft fournie des modèles de fichiers de règles pour ses applications de bureautiquesdans le KIT de Ressources de Microsoft Office 97 :
OFF97W95.ADM
ACCESS97.ADM
Il est possible de créer un fichier de règles « .POL » à partir de plusieurs fichiers modèles « .ADM ». Pour créer ses propres fichiers modèles, il faut consulter le livre « Microsoft Windows 95 ressources KIT ».

POLEDIT n’est pas installé par défaut avec le système d’exploitation WINDOWS 98. POLEDIT doit être installer séparément, par l’intermédiaire du module « Ajout et Suppression de Programmes » du Panneau de Configuration (Onglet « Installation de Windows » et « Disquette Fournie »).

Une fois POLEDIT installé, le programme se retrouve dans le dossier :

C:\WINDOWS\POLEDIT.EXE
Une fois installé, le programme est aussi accessible via le menu Démarrer :
DEMARRER/PROGRAMMES/ACCESSOIRES/OUTILS SYSTEME/Editeur de Stratégie Système

Les trous de sécurité de Windows 95 & 98

Il existe des trous de sécurité dans Windows 95 qui sont exploitable même si des précautions ont été prises, par exemple avec un fichier de règles « .POL ».

Certains fichiers d’aide « .HLP » dans le répertoire « C:\WINDOWS\HELP » comporte des boutons de raccourcis qui permettent de lancer certains programmes…

Un utilisateur peut installer l’éditeur de la base de registre de NORTON si REGEDIT est désactivé…

Un utilisateur peut lancer POLEDIT, si le programme est toujours installé sur l’ordinateur, et inverser les règles de sécurité système (il faut avoir prévu d’activer la règle « ONLY RUN ALLOWED APPLICATIONS »)…

En appuyant sur la touche F8 au démarrage de l’ordinateur, et en choisissant l’option « Mode sans échec uniquement », Windows 95 & 98 ignore les restrictions apportées par le système de règles. L’utilisateur peut alors lancer REGEDIT pour modifier quelques clefs manuellement, puis lancer POLEDIT pour changer les règles (il faut avoir prévu d’ajouter une ligne de commande dans MSDOS.SYS pour désactiver la touche F8 au démarrage avec « Bootkeys=0 »)…

Un utilisateur peut supprimer le fichier CONFIG.POL sur le serveur réseau, puis lancer REGEDIT pour modifier le registre de son ordinateur en local (le fichier CONFIG.POL sur le serveur réseau doit être en lecture seule)…

Les procédures pour WINDOWS 98
Insérer le CDROM d’installation de WINDOWS 98 dans le lecteur de CDROM
DEMARRER / PARAMETRES
PANNEAU de CONFIGURATION
Module AJOUT&SUPPRESSION de PROGRAMMES
Onglet INSTALLATION de WINDOWS
Bouton disquette FOURNIE…
Bouton PARCOURIR
X:\TOOLS\RESKIT\NETADMIN\POLEDIT
Sélectionner le fichier POLEDIT.INF
OK
OK
Sélectionner les deux composants :
EDITEUR de STRATEGIE SYSTEME
STRATEGIES de groupe
Bouton INSTALLER
OK
DEMARRER/EXECUTER
Saisir « poledit »
Ou avec le bouton DEMARRER
DEMARRER/PROGRAMMES/ACCESSOIRES/OUTILS SYSTEME/EDITEUR de STRATEGIE SYSTEME
La première fois, l’EDITEUR de STRATEGIE SYSTEME s’ouvre vide et il faut le charger avec la base de registre existante ou un fichier. POL qui rassemble des paramètres prédéfinies.
FICHIER/OUVRIR LA BASE de REGISTRE fait apparaître deux icônes :
UTILISATEUR LOCAL
ORDINATEUR LOCAL
Ou FICHIER/OUVRIR et sélectionner un fichier .POL

FILE/NEW FILE pour créer un nouveau fichier de règles :
FILE/OPEN FILE pour ouvrir un fichier de règles existant :
DEFAULT USER
DEFAULT COMPUTER
Il faut d’abord définir plusieurs profils UTILISATEUR :
DEMARRER/PARAMETRES/PANNEAU de CONFIGURATION
Module MOTS de PASSE
Onglet profils UTILISATEUR
Activer l’option LES utilisateurs PEUVENT PERSONNALISER LEURS PREFERENCES ET PARAMETRES de bureau
Activer l’option INCLURE LES icônes DU bureau et du VOISINAGE RESEAU DANS LES PREFERENCES de L’UTILISATEUR
Activer l’option INCLURE LE MENU DEMARRER ET LES groupes de PROGRAMMES DANS LES PREFERENCES de L’UTILISATEUR
OK

Redémarrer l’ordinateur
Ensuite, il faut lancer l’éditeur de stratégie système :
Ouvrir l’EDITEUR de STRATEGIE SYSTEME
fichier/NOUVEAU permet de créer une nouvelle configuration
EDITION/AJOUTER UN UTILISATEUR
Saisir le nom de l’utilisateur
OK et l’icône du nouvel utilisateur apparaît.
Double cliquer sur l’icône du nouvel utilisateur ou EDITION/PROPRIETES pour déterminer les restrictions pour ce nouvel utilisateur.
Lancer POLEDIT
FILE/NEW FILE
Options/TEMPLATE pour choisir un modèle « .ADM ». Un seul fichier modèle peut être actif à la fois, et il faut fermer le premier avant d’en ouvrir un autre ? ? ?
Lancer POLEDIT
Créer un fichier de règles « .POL »
Renommer le fichier :
« CONFIG.POL »
Copier le fichier « CONFIG.POL » dans le même répertoire partagé du serveur réseau :
SYS.PUBLIC (pour un serveur NetWare)
NETLOGON (pour un serveur Windows NT)
Il faut installer le « GROUP POLICIES » (l’éditeur de règle pour les groupes) en même temps que POLEDIT.
Lancer POLEDIT
EDIT/ADD GROUP
Sélectionner un groupe d’utilisateur existant
Options / group Priority pour définir des priorités entre les règles qui rentrer en contradiction. Un utilisateur appartenant à plusieurs groupes peut bénéficier des règles du groupe le plus prioritaire. Le système applique au registre le fichier de règles du groupe le plus prioritaire en dernier, ce qui « écrase » les précédentes configuration en concurrence et exclus les règles contradictoires.
Lancer POLEDIT
FILE/OPEN FILE
Ouvrir le fichier CONFIG.POL
EDIT/ADD USER
Saisir le nom du compte de l’utilisateur
OK
Double cliquer sur la nouvelle icône de l’utilisateur
Fixer les paramètres spécifique à cet utilisateur
Enregistrer les modifications dans le fichier CONFIG.POL
Copier le fichier CONFIG.POL sur le serveur réseau

Lancer POLEDIT
FILE/OPEN FILE
Ouvrir le fichier CONFIG.POL
EDIT/ADD COMPUTER
Saisir le nom de l’ordinateur
OK
Double cliquer sur la nouvelle icône de l’ordinateur
Fixer les paramètres spécifique à cet ordinateur
Enregistrer les modifications dans le fichier CONFIG.POL
Copier le fichier CONFIG.POL sur le serveur réseau
  1. Créer un fichier « .POL »
  2. Copier le fichier de règle sur une disquette
  3. Ouvrir une session sur un des ordinateurs autonomes
  4. Copier le fichier « .POL » sur le disque dur de l’ordinateur autonome (par exemple dans le répertoire « C:\WINDOWS\fichier.pol »)
  5. Installer POLEDIT sur l’ordinateur autonome
  6. Lancer POLEDIT
  7. FILE/OPEN REGISTRY
  8. Double clic sur l’icône « LOCAL COMPUTER »
  9. Ouvrir la branche « NETWORK/UPDATE »
  10. Cliquer sur « REMOTE UPDATE »
  11. Sous le paragraphe « Settings for Remote Update » sélectionner « MANUAL (USE SPECIFIC PATH ) » dans le champ « UPDATE MODE »
  12. Saisir dans le champ « PATH For Manual Update » le chemin local du fichier « .POL » (par exemple dans le répertoire C:\WINDOWS\fichier.pol »)
  13. OK pour fermer l’éditeur de règles
  14. YES pour enregistrer les modifications dans le registre
  15. Désinstaller POLEDIT avec le module « Ajout & Suppression de Programmes » du Panneau de Configuration.
  16. Répéter la procédure pour un autre ordinateur autonome…