Rendre Windows plus sûr (SAFER)

Les règles de restriction logicielle de SAFER sont étroitement intégrées aux OS XP Pro et à .NET Server. Malheureusement, on ne peut pas les appliquer aux serveurs et clients plus anciens, qui ignorent simplement la politique SAFER. SAFER classifie le code en trusted ou untrusted. Seul le premier peut être exécuté. Aucun code stocké sur le système XP Pro ou .NET Server ne peut échapper à  SAFER – quelle que soit la provenance de ce code et qui ou quoi que ce soit qui l’exécute (utilisateur, machine ou service).

Ce mécanisme de restriction de logiciel est extrêmement puissant. On peut, par exemple, interdire à  un administrateur de démarrer une session Telnet à  partir d’un certain serveur, restreindre l’accès utilisateur à  Solitaire, et interdire l’exécution de contrôles ActiveX que Microsoft n’a pas signés. Dans de vastes environnements, comme ceux d’un fournisseur de services applicatifs sur terminal, on peut utiliser SAFER pour limiter les applications offertes à  certains utilisateurs. .NET Server incorpore des définitions de politique SAFER dans les paramètres de GPO. Pour appliquer les règles de restriction de logiciel, les administrateurs doivent définir les paramètres de GPO correspondants. Comme avec tout GPO, on peut configurer des règles de restriction de logiciel aux niveaux GPO utilisateur et machine.

Pour définir une politique de restriction de logiciel, il faut d’abord sélectionner l’un des deux niveaux de sécurité par défaut : Untrestricted (le compte, à  condition d’avoir les droits d’accès appropriés, peut exécuter n’importe quel code) et Disallowed (quels que soient ses droits d’accès, le compte ne peut exécuter aucun code). On trouve et définit ces niveaux de sécurité dans le conteneur GPO Security Levels. Si vous êtes un administrateur connaissant peu le logiciel exécuté par les utilisateurs, le niveau de sécurité Disallowed s’impose. Après avoir défini le niveau de sécurité par défaut, des règles complémentaires permettent de l’affiner. Ces règles peuvent avoir quatre paramètres : la personne ou l’organisation qui signe le code, l’empreinte digitale hash du code, la zone Internet du site Web d’où le code a été téléchargé, et le chemin du système de fichiers ou de l’URL vers le code.

Pour dépanner les politiques de restriction de logiciel, utilisez les options de loggin GPO classiques et l’outil gpresult.exe du Microsoft Windows .NET Server Resource Kit. Vous pouvez aussi recourir à  l’outil RsoP (Resultant Set of Policies) de .NET Server. Cet outil permet de simuler les résultats obtenus avec des paramètres GPO particuliers.