Guide pour sécuriser votre PC avec Kiosk Internet et Windows Seven Si on prévoir d autoriser les clés USB et le téléchargement : Permettre le blocage de l'accès au disque système (C:\) pour un utilisateur Public 1) Créer une partition, par ex. D: pour le profil d'utilisateur public, par ex. Kiosk, et définir l'emplacement du profil utilisateur compte Kiosk sur D: - réduire la partition système, si nécessaire - créer une partition USER (ou Data), par ex lecteur D: - copier c:\utilisateurs vers d:\utilisateurs * * * (effacer dans d:\utisateurs\xxxxxx l'administrateur en cours, qui reste sur C:) * * * Il faut impérativement copier le dossier caché c:\users\default, vers d:\users\default, ainsi que le dossier c:\users\public vers d:\users\public
Ensuite modifier la base de registre comme suit Faire regedit, et se positionner sur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList Remplacer %SystemDrive% par D:\ pour les Valeurs Default ProfilesDirectory Public Dupuis informatique Tél 027 776 50 07
IMPORTANT Le niveau du contrôle de compte utilisateur doit être sur Standard
Créer un Utilisateur Windows standard et attribuer les droits d écriture A) Créer un nouvel utilisateur STANDARD Ensuite créer un nouvel utilisateur sans droit d administration, par ex: kiosk avec un mot de passe (mot de passe nécessaire pour l'autostart / Login automatique) IMPORTANT Fermer l'administrateur et ouvrir l'utilisateur kiosk pour créer son profil (profil, registre) Puis revenir à l administrateur en fermant bien la session de l utilisateur kiosk B) Définir les droits d'accès sur les fichiers et à la base de registre. A faire en ouvrant une session Windows en tant qu'utilisateur Administrateur, l'utilisateur Kiosk doit disposer des droits d'administrateur dans cette phase de l'installation Ouvrir le dossier C:\Program Files\KioskInternet
1 ) Définir les droits sur les fichiers : Lancer le script (double clic) : w7security.vbs Autoriser l'éxecution du script en tant qu'administrateur Remarque : le script enlève le droit de lecture sur le fichier C:\Program Files\KioskInternet\INSTALL\WDSetup.exe pour les non-administrateurs, cela prévient le lancement des mises à jour automatique par l utilisateur kiosk 2) Définir des droits dans le registre windows Remarques : Ce script va attribuer les droits d écriture dans le registre, pour l utilisateur kiosk. C est une étape indispensable, pour permettre au logiciel de verrouiller internet explorer et Windows. Ouvrir une fenêtre de commande en tant que utilisateur Windows administrateur Faire double-clic sur : w7secregistry.vbs
Introduire le nom de l utilisateur Windows Standard, ici kiosk Autoriser l'éxecution du script en tant qu'administrateur. Le script va également créer quelques clés de registre.
C) Bloque l'utilisation de EaseOfAccess, Outils pour personnes avec handicap, entre autre le narrateur (Windows 7) Exécuter lockesaseofaccess.bat en tant qu'administrateur D) Vérifier le fonctionnement des logiciels du PC Avant de sécurisé Windows pour le profil de l'utilisateur Kiosk, il faut tester tout les programmes que l'on désire mettre à disposition A faire en tant qu'utilisateur Kiosk. Enregistrer les programmes - activer les licences - accepter les conditions d'utilisation - définit les imprimantes A contrôler, en particulier : - flash - acrobat reader - firefox - openoffice - antivirus - quicktime et d'autres plugins pour internet - visionneuse Word, Excel, Powerpoint ou les programmes Offices
E) Définir l'interface Utilisateur dans le logiciel de Kiosk et activer votre licence Voir le manuel de référence du logiciel Il faut définir le profil de l'utilisateur Kiosk pour le démarrage automatique, le mot de passe de l utilisateur Windows est nécessaire Onglet Licence : Faire ACTIVER Puis STOP et relancer le programme avant de passer à l étape suivante
F) Sécuriser l'utilisateur Kiosk Vérifier les règles définies sous Windows Policy, en particulier - NoDrives, selon la configuration de l'ordinateur Pour bloquer C: uniquement définir la valeur à 4 - NoViewOnDrive Pour bloquer C: uniquement définir la valeur à 4 En tant qu'utilisateur kiosk : Finir avec LockOS Les règles sous Windows Policy sont appliquées pour le profil utilisateur définit sous Station / Réglage Auto Logon est activé pour l'utilisateur désiré (Kiosk) Le Kiosk est démarré automatiquement (via w7shell.vbs) Il faut redémarrer le PC pour que Windows soit effectivement sécurisé (ou fermer la session)
Si on prévoir d autoriser les clés USB et le téléchargement : Bloquer le lancement de programmes indésirable (utilisation du contrôle parental sous Win7 home) Pour éviter que l'utilisateur final lance des programmes depuis des clés USB, il faut activer le contrôle parental - fermer la session Windows de l'utilisateur Kiosk - ouvrir l'administrateur - Pour Open Office, ajouter manuellement soffice.bin - Pour le démarrage automatique du Kiosk ajouter c:\program files\kiosk internet\w7shell.vbs (ce dernier redémarre le programme du Kiosk, si il n'a pas été arrêté via le menu d'administration du Kiosk) Exemple
Faire Autoriser et bloquer Choisir tout cocher.
Avec Parcourir, «Tous les fichier», ajouter le script de démarrage automatique du Kiosk, le script C:\Program Files\KioskInternet\w7shell.vbs Pour Open Office, ajouter manuellement soffice.bin
En cas de problème, réglage manuel Autologon automatique HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon REG_SZ DefaultUserName kiosk REG_SZ DefaultPassword kiosk REG_SZ AutoAdminLogon 1 Lancement automatique Dans le compte de l utilisateur Kiosk HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run REG_SZ KioskInternet c:\program files\kioskinternet\w7shell.vbs VBS script http://msdn.microsoft.com/en-us/library/d1wf56tt(v=vs.85).aspx