Blinder un poste Windows 9x sur le réseau AbulÉdu
par Laurent Bellegarde, le 24 octobre 2003
Accueil | Plan du Site | Rédiger une doc :: AbulÉdu.Org | Scideralle | AbulÉdu.Com

Envoyer l'article à un ami (formulaire) Envoyer cette doc

Afficher l'Article dans un format prêt à imprimer Format Imprimable

Rechercher sur ce site :
AbulÉdu - Administrateur
Administration distante - échanges de fichiers avec AbulÉdu
Clonage et restauration des postes clients
Connecter des postes clients sur le serveur AbulÉdu
Clients Apple(c)
Clients GNU/Linux
Clients Windows(c)
Connexion Internet et intranet du serveur AbulÉdu
Installation d’un serveur AbulÉdu
Installation-partage d’une imprimante en réseau
Maintenance du serveur AbulÉdu
Mises à jour pour votre AbulÉdu
Rajouter des logiciels sur le serveur
Sauvegarde du serveur
Mettre des logiciels en partage sur le serveur
AbulÉdu - FAQ
AbulÉdu - L’avenir ?
AbulÉdu - les versions
Blocages du serveur AbulEdu
Clients Windows(c)
Fabriquer des terminaux X ?
Problèmes d’impression
Problèmes de connexion Internet et réseau
AbulÉdu - Utilisateurs
Créer une Doc
Culture informatique pour le B2i
Environnement Graphique
KDE
WindowMaker
Graver et sauvegarder
Kit de survie du débutant avec AbulÉdu
Naviguer et lire le courrier d’Internet
travailler les images
Développeurs et administrateurs
AbulÉdu - Architecture serveur
AbulÉdu - bêta
Développement
AbulEdu et PHP
Version 1.1.x
Environnements de développements
Le Terrier
Questions et choix techniques

Vous pouvez participer à la vie de ce site et proposer vos propres articles en vous inscrivant ci-dessous. L'espace privé de ce site est ouvert aux visiteurs, après inscription. Une fois enregistré, vous pourrez consulter les articles en cours de rédaction, proposer des articles et participer à tous les forums.

Indiquez ici votre nom et votre adresse email. Votre identifiant personnel vous parviendra rapidement, par courrier électronique.
Identifiants personnels
Voir aussi...
Mot-Clé : administrateur
Manuel d’installation v.1.0.7
 Premier démarrage v.1.0.7
 Blinder un poste Windows 9x sur le réseau AbulÉdu
 Utiliser un poste Windows 3.11 sur le réseau AbulEdu
 Utiliser un poste Windows 9x sur le réseau AbulÉdu
 Pour être autonome avec un systeme Abuledu
 Combler une faille de sécurité importante des clients Windows
 Menu de démarrage d’un poste client
 Ajouter un poste Windows XP Pro sur un réseau AbulÉdu
 Créer des listes d’élèves pour abuledu.
 Compte rendu d’une installation "type" d’une AbulEdu Sil Cétril a005
 Liste partielle du matériel compatible pour AbulÉdu-GNU/Linux
 Installation d’un onduleur Ellipse 800 sur un serveur AbulEdu 1.0.7 II
 Premier démarrage v.1.0.9
 Manuel d’installation d’un serveur AbulÉdu associatif
 Problème du mot de passe de la base SPIP (MySQL)
 Des nouveaux profils
 Connecter un poste GNU/Linux Ubuntu autonome sur un serveur
 Créer une page "galerie d’images" sur l’intranet
 Manuel d’installation d’un serveur AbulÉdu PLM 5.11
 AbulÉdu PLM - Migration d’AbulÉdu Associatif vers AbulÉdu PLM ?
 Utiliser un Client CD
Mot-Clé : AbulEdu Associative
Mise en réseau de BCDI 2 et 3 sur un serveur Abuledu
 Connecter un client Windows XP Home sur un serveur ABULEDU
 50 principales commandes de logiciels disponibles dans AbulÉdu
 Fiches pédagogiques 2003-2004 sur libre.pedagosite.net
 Débuter avec AbulÉdu - Ouvrir son cartable électronique
 Débuter avec AbulÉdu - Navigateur Internet
 Débuter avec AbulÉdu - Utiliser son cartable électronique
 Installation d’AbulÉdu 1.09 en dual boot.
 Blocages du serveur AbulEdu, partition var pleine !!!
 Faire un Terminal X avec une connexion wifi
 Installer Flash sur une AbulÉdu associative
 Débuter avec AbulÉdu - Enregistrer
 Modifier la page d’accueil de l’intranet Servecole
 Graver l’ISO d’AbulÉdu


Blinder un poste Windows 9x sur le réseau AbulÉdu
version 0.2 - 24 octobre 2003


(GIF)

1. Introduction

AbulÉdu permet d’avoir des clients réseaux de toute nature. Les PC sous Windows 9x en font partie.

Or tout utilisateur de Windows 9x connaît les faiblesses de Windows 9x en réseau au niveau de la sécurité des connexions, ainsi que la grande fragilité du bureau et des composants du système lorsque la machine est livrée à de nombreux utilisateurs.

Remarque : les principes de cette documentation peuvent être appliqués à Windows NT, XP home et pro qui utilisent aussi des clés de registre mais ces clés différent de celles de Windows 9x. Votre contribution sera donc pour ces Windows la bienvenue.


2. Procédure de connexion d’un poste client Windows 9x sur serveur AbulÉdu

Samba est un protocole logiciel installé en standard dans un serveur AbulÉdu/ GNU Linux, il permet les "discussions" sur le réseau entre un client Windows 9x et un serveur Linux (ou vice-versa avec Windows NT).

Lorsqu’un poste Windows 9x se connecte au serveur AbulÉdu, tout se passe dans la mise en route du fichier smb.conf situé dans le dossier serveur /etc.

Le fichier smb.conf lors de son exécution lance un autre fichier, demarWin95.bat qui s’exécute et appelle à son tour le fichier mesdocsWin95.reg situé dans le dossier serveur home/netlogon. Toutes ces étapes se caractérisent par le script qui s’exécute sur l’écran du client Windows 9x après connexion.

Pour blinder plus ou moins un client Windows 9x avec AbulÉdu, on garde un fichier smb.conf identique, on rajoute une ligne dans le fichier demarWin95.bat et un nouveau fichier en parallèle de mesdocsWin95.reg qui s’appellera controleWin95.reg.

3. Modification de la connexion authentifiée entre le client Windows 9x et le serveur AbulÉdu.

Pour que Windows demande un nom d’utilisateur, un login et vous permette d’accèder aux fichiers présents sur le serveur sans pouvoir contourner l’identification par la touche clavier ECHAP ou par le bouton ANNULER de la fenêtre de connexion, vous devez configurer vos clients Windows 9x comme indiqué dans le mode d’emploi "Comment connecter un client Windows 9x sur le serveur AbulÉdu" puis réaliser les modifications ci-dessous.

3.1 Préparation de la nouvelle séquence de connexion, modifier le fichier demarWin95.bat.

Lancez sur un client TX-Linux une session Windowmaker.

Ouvrez un terminal X avec un clic droit sur le bureau, terminal,Xterm.

Devenez super-utilisateur ROOT avec la commande :

-  su

saisissez le mot de passe ROOT.

Allez dans le dossier serveur home/netlogon :

-  cd /home/netlogon

et copiez le fichier demarWin95.bat pour en créer une copie originale avec :

-  cp demarWin95.bat demarWin95.bat.old

(c’est juste histoire de garder une copie du fichier de démarrage original au cas où !!!)

Copiez le fichier demarWin95.bat pour le modifier dans votre "cartable" avec :

-  cp demarWin95.bat /home/profs/votre_nom/

changez les droits sur ce fichier avec la commande :

-  chmod 777 /home/profs/votre_nom/demarWin95.bat

(JPEG)

Ouvrez votre "cartable" sous Windows 9.x, et lancez le bloc note dans démarrer/programmes/accessoires.

Rajoutez la ligne ci-dessous à la fin du fichier :

regedit /s \\servecole\netlogon\controleWin95.reg

(=ligne de lancement du fichier controleWin95.reg)

Sauvegardez le fichier modifié.

Revenez sur le terminal X Linux, et recopiez le fichier en écrasant la vieille version dans /home/netlogon :

-  cp /home/profs/votre_nom/demarWin95.bat /home/netlogon

3.2 Préparation de la nouvelle séquence de connexion, créer un fichier controleWin95.reg.

Remarque : Le fichier controleWin95.reg contrôle indifféremment des postes clients Windows 95 ou 98, Me.

Sur le client TX-Linux,dans un terminal X ROOT,allez dans le dossier serveur home/netlogon :

-  cd /home/netlogon

et copiez le fichier mesdocsWin95.reg pour en créer une copie à transformer en controleWin95.reg avec :

-  cp mesdocsWin95.reg controleWin95.reg

Copiez le fichier controleWin95.reg pour le modifier dans votre "cartable" avec :

-  cp controleWin95.reg /home/profs/votre_nom/

changez les droits sur ce fichier avec la commande :

-  chmod 777 /home/profs/votre_nom/controleWin95.reg

(JPEG)

Ouvrez votre "cartable" sous Windows 9.x, et lancez le bloc note dans démarrer/programmes/accessoires.

Rajoutez la ligne ci-dessous à la fin du fichier :

REGEDIT4

[HKEY_LOCAL_MACHINE\Network\Logon]

"MustBeValidated"=dword :00000001

"LMLogon"=dword :00000001

"DontShowLastUser"=dword :00000001

(=lignes de vérouillage de l’identification de l’utilisateur)

Sauvegardez le fichier modifié.

Revenez sur le terminal X Linux, et recopiez le fichier en écrasant la vieille version dans /home/netlogon :

-  cp /home/profs/votre_nom/controleWin95.reg /home/netlogon

Suivant les blindages que vous voulez mettre en place, recopiez les lignes (la ligne REGEDIT4 n’a besoin d’être présente qu’une fois en début de fichier) décrites dans les paragraphes ci-dessous dans ce fichier et pensez à sauvegarder le fichier après chaque modification.

Rappel important : Les modifications du fichier controleWin95.reg doivent se faire dans le bloc note sous Windows avant d’être renvoyées dans le dossier /home/netlogon.

Les blindages décrits ci-dessous sont classés selon un ordre de plus en plus restrictif, ils peuvent être appliqués ensemble ou séparément selon vos attentes.

Sur ce site, vous trouverez une mine d’or sur le registre de Windows, http://perso.wanadoo.fr/keyshell/.

Pour ceux qui ne veulent pas y passer trop de temps, vous trouverez dans le tableau ci-dessous les 3 fichiers qui fonctionnent dans mon collège et sont prêts à l’emploi :

Nom du fichier

Action

Version à télécharger

demarWin95.bat

Connexion client Windows 9x

TGZ - 10 ko
connexion.tgz

controleWin95.reg

Serrure de vérouillage

TGZ - 10 ko
serrure.tgz

raz-controleWin95.reg

Serrure dévérouillée

TGZ - 10 ko
serrure_ouverte.tgz

Pour récupérer les fichiers compressés, ouvrez un terminal X et tapez :

-  tar -xvf nom_du_fichier.tgz

4 Les principales clés de blindage

4.1 Mise en place d’un login obligatoire sur un client Windows 9x.

Pour annuler la possibilité pour un utilisateur d’accèder au bureau de Windows 9x sans s’identifier, ou pour faire effacer automatiquement le nom du dernier utilisateur, rajoutez les lignes ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_LOCAL_MACHINE\Network\Logon]

"MustBeValidated"=dword :00000001

"LMLogon"=dword :00000001

"DontShowLastUser"=dword :00000001

Je conseille fortement pour la stabilité de Windows en réseau de ne pas déverrouiller ces clés !!!

4.2 Désactivation de la mémorisation locale des mots de passe.

Pour annuler le mémorisation des mots de passe utilisateurs en local sur le disque dur sous Windows 9x, rajoutez la ligne ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network]

"DisablePwdCaching"=dword :00000001

4.3 Protection des paramètres d’affichage, de fond d’écran, d’écran de veille.

Pour annuler le fait qu’un utilisateur puisse modifier la résolution de l’image, le codage des couleurs, le fond d’écran, l’écran de veille du bureau de Windows 9x, en gros les paramètres d’affichage, rajoutez les lignes ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispCPL"=dword:00000001

"NoDispBackgroundPage"=dword:00000001

"NoDispScrSavPage"=dword:00000001

"NoDispAppearancePage"=dword:00000001

"NoDispSettingsPage"=dword:00000001

4.4 Enlever le menu "Mes documents" du bouton démarrer sur le client Windows 9x.

Pour enlever le le menu "Mes documents" du bouton démarrer sur le client Windows 9x, rajoutez la ligne ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoFileMenu"=dword:00000001

4.5 Protection du panneau de configuration.

Pour annuler le fait qu’un utilisateur puisse modifier les éléments principaux du panneau de configuration de Windows 9x, en gros les paramètres fondamentaux de votre ordinateur, rajoutez les lignes ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDevMgrPage"=dword:00000001

"NoConfigPage"=dword:00000001

"NoFileSysPage"=dword:00000001

"NoVirtMemPage"=dword:00000001

4.6 Empêcher la mise à jour automatique ou manuelle de Windows 9x sur Internet.

Pour annuler le fait qu’un utilisateur puisse aller sur le site de Microsoft sur Internet pour mettre à jour Windows 9x sans passer par l’administrateur du réseau, rajoutez la ligne ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoWindowsUpdate"=dword:00000001

4.7 Désactiver les outils d’édition de la base de registre.

Pour annuler le fait qu’un utilisateur puisse modifier la base de registre de Windows 9x (ce qui peut entraîner de gros dégâts dans Windows 9x), rajoutez la ligne ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000001

4.8 Empêcher la sauvegarde des modifications en local sur le client Windows 9x.

Pour annuler le fait qu’un utilisateur puisse enregistrer des modifications sur le client Windows 9x, rajoutez la ligne ci-dessous dans le fichier controleWin95.reg :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoSaveSettings"=dword:00000001

De nombreuses autres modifications peuvent être réalisées en s’inspirant des clés de registre d’Olivier Lécluse disponibles à l’adresse : http://www.linux-france.org/prj/edu/sambaclg/

5 Modifier un client Windows 9x alors qu’il est très blindé.

Maintenant que les clients Windows 9x sont configurés de façon à être blindés, vous comprenez facilement qu’il est difficile pour tout le monde, utilisateur comme administrateur, de faire certaines modifications.

En fait, il n’en n’est rien, il suffit à l’administrateur du serveur AbulÉdu (pas abuladmin mais le super-utilisateur ROOT) de :

Lancer sur un client TX-Linux une session WindowMaker et un Xterm en tant que super-utilisateur ROOT,

Copier le fichier controleWin95.reg en le renommant en controleWin95.reg.old avec :

-  cp /home/netlogon/controleWin95.reg controleWin95.reg.old

Vous disposez maintenant de la serrure fermée, créez la serrure ouverte en éditant le fichier controleWin95.reg avec,

Copier le fichier controleWin95.reg pour le modifier dans votre "cartable" avec :

-  cp controleWin95.reg /home/profs/votre_nom/

Changer les droits sur ce fichier avec la commande :

-  chmod 777 /home/profs/votre_nom/controleWin95.reg

(JPEG)

Ouvrez votre "cartable" sous Windows 9.x, et lancez le bloc note dans démarrer/programmes/accessoires.

Remplacez les chiffres 1(= serrure verrouillée) des lignes par des 0 (= serrure déverrouillée), sauvegardez votre fichier.

Copier le fichier déverrouillé controleWin95.reg en le renommant dans raz-controleWin95.reg avec :

-  cp /home/profs/votre_nom/controleWin95.reg /home/netlogon/raz-controleWin95.reg

Déverrouiller les clients avec la copie du fichier raz-controleWin95.reg sur le fichier controleWin95.reg :

-  cp /home/netlogon/raz-controleWin95.reg /home/netlogon/controleWin95.reg

Réaliser les modifications souhaitées sur les clients Windows 9x en vous reconnectant en tant qu’utilisateur. Une fois les modifications effectuées, sur le poste terminal X Linux, écrasez le fichier controleWin95.reg par sa version bridée controleWin95.reg.old avec :

-  cp /home/netlogon/controleWin95.reg.old controleWin95.reg

Et hop le tour est joué, le blindage est de retour lors de la connexion d’un utilisateur sur le client Windows !!!

Remarque : En cas de non fonctionnement du blindage ou de son annulation, essayez de relancer votre samba dans un Xterm avec la commande :

-  /etc/init.d/smb restart

(Document réalisé d’après des clés de registre Windows disponibles dans le Kit Samba-edu d’Olivier Lécluse et le site de Franck Kiechel )


Forum de l'article


> Blinder un poste windows 9x sur le réseau abuledu
2 février 2003, par xavjulien

Le système proposé est intéressant, mais ne peut-on utiliser les stratégies systemes (Poledit) qui sont plus souples. En effet grâce à elles, les restrictions s’appliquent en fonction de l’utilisateur ou du groupe auquel il appartient. Pour ma part, nous l’utilisons conjointement avec un serveur NT4, c’est redoutablement efficace. Nous avons modulé les restrictions en fonctions des groupes ou des utilisateurs. Le problème c’est l’accès à la base des utilisateurs justement. Le fichier config.pol peut-être aisément placé sur le serveur Linux. Mais pour gérer les restrictions, poledit fait appel à la base des utilisateurs de NT, or j’ai remarqué que quand on configure un client W9X (d’après l’aide fournie) le contrôle d’accès est au niveau ressources et non utilisateurs. Un client W98 ne peut-il interroger la base utilisateurs sur Linux ?

Par ailleurs, est-il possible (je n’ai pas encore eu le temps de parcourir tout le site, la réponse s’y trouve peut-être) d’utiliser les profils itinérants ?

En tout cas bravo pour votre travail ! en 3/4 d’heure le serveur Abuledu est opérationnel !

La seule chose qui me chagrine c’est mon ignorance et mon incompétence face à Linux. Tout marche mais je serais incapable de le refaire tout seul ! Auriez-vous un conseil avisé pour savoir par quel bout commencer ? Histoire de ne pas rester un assisté !

Dernière question, je la pose ici car j’ignore à qui l’adresser) : j’ai installé le serveur Abuledu sur un PC perso en multi boot (Asus A7V Duron 1,2 Ghz, Geforce4 MX 440 ) pour apprendre (lol !) et il refusait de lancer l’interface graphique. J’ai pensé que la carte graphique y était pour quelque chose. J’ai donc rajouté une vieille ATI PCI 4 Mo et en boutant desssus tout est rentré dans l’ordre. Y-a-t-il une solution pour que Linux reconnaisse ce type de carte ? Peut-on installer un linux plus récent que le Mandrake 7.2 avec le support de la disquette Abuledu ?

Merci et encore bravo.

5 février 2003

poledit j’ai tenté, c’est trop compliqué et lourd.

les profils itinérants c’est possible mais tout reste à développer.

les cartes vidéo geforce ne fonctionnent pas avec la mandrake 7.2, il faut la 8.2, et donc tester abuledu béta 4 1.0.11 sur le site www.abuledu.org

7 février 2003, par Christophe ATTIAS

J’ajoute qu’en parallèle à l’installation d’un AbulEdu Stable ou Beta il est vivement conseillé de s’inscrire sur la ou les listes de diffusion :
-  Liste Support pour la version stable (Mandrake 7.2)
-  Liste Beta pour la version en développement (Mandrake 8.2)

Personnellement, j’ai installé par curiosité un serveur AbulEdu il y 2 ans et l’apport extraordinaire des listes de diffusion AbulEdu m’a permis, à chaque nouvelle difficulté, de résoudre mon problème et surtout de comprendre ce que je faisais.
Depuis je n’échangerais pas mon baril d’abulEdu contre 10 barils de Windows  ;-)
Mentions légales - Logiciel Libre - Et ce qu'on veut - Copyright AbulÉdu Corp.