Windows 10 en libre-service ?

[L33thium]

Bonjour,

Je veux mettre un poste un libre-service dans ma boutique.
Il ne doit pas être trop restrictif (pas de mode kiosque), juste interdit d'exécuter des binaires sur support amovible et dossier personnel, interdit d'accès aux paramètres système, interdit d'accès aux services LAN et effacement de toutes les données à la fermeture de session (sous Linux je mettrais le dossier home dans un tmpfs. pour arriver à mes fins).

J'ai bien vu comment créer un compte "invité" mais je ne sais pas si les données sont vraiment effacées à la fermeture de session. ni comment restreindre ses privilèges à ce point.

Merci

[Aloyse57]

De mon expérience tu ne peux pas juste vider le dossier du compte. C'est juste impossible d'effacer le dossier AppData, vu qu'il y a des paramètres d'installation.

Mettre les dossiers Temps, Images, Docs sur un Ramdrive, némpêcherait pas \AppData de conserver des choses de tous les clients qui passeront par ce compte.

Le mieux que tu pourrais faire, c'est ne donner accès qu'à la session bac-à-sable https://www.zebulon.fr/astuces/securite-systeme/comment-utiliser-la-sandbox-de-windows-10.html

 

 

[brice.wernet]

En fait, il existe maintenant dans Windows 10 le "Write Filter" qu'on avait dans les windows pour caisses enregistreuses. On peut l'activer dans le panneau de configuration, fonctionnalités supplémentaire, verrouillage de l'appareil, filtre d'écriture unifié.

Ceci permet d'empêcher de toute écriture sur le C:\ (Windows utilisait sous Windows 7 embedded un espace en mémoire pour stocker les données utilisateur - c'est par exemple super quand on a le système sur un disque SD ou flash: il n'écrit rien sur le disque!).

Je ne l'ai jamais utilisé sous Windows 10. Sous Windows XP/7, il fallait le désactiver pour passer les mises à jour, et le réactiver (en rebottant à chaque fois...)

Mais c'était vraiment sécurisant. 0 écriture sur le disque, même pas les journaux d'évènement.

 

[Aloyse57]

Il existe aussi un logiciel qui à chaque reboot te remet ta partition d'origine (tu en as toujours 2 : l'originale, cachée et celle active, qui est RàZ au reboot). Mais je n'arrive pas à remettre la main dessus (c'était avec un Dell Optiplex que je l'avais eu, par hasard).

[L33thium]

rien de faisable avec Windows 10 home 😞

J'aimerais bien ne pas trop déstabiliser mes clients mais je crois que ça va se finir avec une installation de Linux sur ce poste si je ne trouve pas d'autre solution applicable. Avec firefox et libreoffice/onlyoffice ça devrait convenir à 95% des usages.

Je vais quand même explorer le compte invité sur une VM avant

[brice.wernet]

Effectivement, j'ai bien l'option dans mon 10 pro, mais la page mais indique windows entreprise ou iot.

Il reste encore le boot sur vhd avec je ne sais plus quelle option pour virer tout au reboot, et le boot par réseau.

Bref, un linux genre tiny coré sera bien mieux!

J'ai tendance à mettre onlyoffice à la place de LibreOffice en ce moment, il est plus user friendly (il est en gros ce que ms office devrait être niveau ergonomie)

Sinon, j'ai une paire de t5740 qu'un vont partir à la benne (windows 7 ou XP embedded), c'est étudié pour...

[Aloyse57]

Windows 10 Home ne devrait même plus exister tellement il est bridé.

A la base, il n'est pas du tout pensé dans une vision commerciale.

[L33thium]

Bon j'ai trouvé une "astuce". Le compté invité existe toujours mais n'est pas activable.
Il faut donc créer un utilisateur et le déplacer dans le groupe invités.

Et ensuite pour rendre son profil temporaire il faut créer une erreur tout bêtement en supprimant ou renommant son dossier utilisateur.
Comme ça tout disparaît à la déconnexion, on a juste un message d'erreur lors de la connexion prévenant qu'un est en profil temporaire.

Maintenant il faut que je trouve comment tout lui interdire par défaut.
Pour lui donner accès en lectures/écritures sur supports amovibles uniquement et aucun accès réseau excepté internet

[brice.wernet]

Il y a 4 heures, L33thium a écrit :

Maintenant il faut que je trouve comment tout lui interdire par défaut.
Pour lui donner accès en lectures/écritures sur supports amovibles uniquement et aucun accès réseau excepté internet

Avec un Windows Home, ça me paraît galère. En fait, sans un AD, ça me semble chaud. et même avec en fait. Car le paramétrage de connexion se fait au niveau ordi, pas utilisateur il me semble (quoique Windows 10 bloque maintenant les accès Samba si pas de login AD ou Live). Ou alors il faut utiliser un proxy local à l'ordi et faire en sorte soit que l'utilisateur invité soi sur le proxy. Un script netsh à l'ouverture de session peut-être?

Bref, ça me paraît beaucoup de travail pour un truc qui sera certainement bancal...

[Minikea]

pourquoi pas utiliser un soft qu'on utilise dans les cyber café, qui ne propose qu'un navigateur et rien d'autre? (genre Cyberlux ou autre)
ce genre de poste est généralement utilisé pour aller sur internet de toute façon, et ce genre de soft n'empêche pas l'utilisation de clé USB.

[ashlol]

Il y a 17 heures, L33thium a écrit :

Bon j'ai trouvé une "astuce". Le compté invité existe toujours mais n'est pas activable.
Il faut donc créer un utilisateur et le déplacer dans le groupe invités.

Et ensuite pour rendre son profil temporaire il faut créer une erreur tout bêtement en supprimant ou renommant son dossier utilisateur.
Comme ça tout disparaît à la déconnexion, on a juste un message d'erreur lors de la connexion prévenant qu'un est en profil temporaire.

Maintenant il faut que je trouve comment tout lui interdire par défaut.
Pour lui donner accès en lectures/écritures sur supports amovibles uniquement et aucun accès réseau excepté internet

t'achètes une clef à 10€ de windows 10 pro sur internet et t'aura accès au panneau de stratégie de sécurité locale et tu pourra tout bloquer comme tu veux, pas besoin de contrôleur de domaine pour ça.

[L33thium]

je peux pas avoir de licences grises dans ma boutique,je suis un pro je veux pas de problèmes avec Microsoft.

J'ai vu l'impossibilité sinon la galère pour faire ça sous Windows donc je vais me rabattre sur un Linux.

Je veux un accès plus vaste que dans un cybercafé, je suis aussi un repair café ce poste pourrait être utilisé pour flasher un smartphone par exemple.

[L33thium]

j'ai pas toutes les restrictions que je voulais mais niveau confidentialité je suis pas mal maintenant.

- Créer un nouveau compte utilisateur local
- S'y connecter pour mettre en place son bureau et quelques personnalisations
- Quand c'est fait, fermer sa session et revenir à l'utilisateur admin
- avec netplwiz placé le nouveau compte dans le groupe invités
- Dans le dossier Users renommer Default en Default.old et le dossier du nouvel utilisateur en Default.

Il braille au sujet du profil temporaire à la toute première connexion mais après c'est finit. Je me paye juste une erreur onedrive