Comment verrouiller une session Windows lors du retrait de la carte à puce ?

Aujourd’hui, les entreprises et organisations nécessitant un niveau de sécurité élevé, exigent une infrastructure à clés publiques (Infrastructure PKI « Public Key Infrastructure ») au sein de leur S.I.

La carte à puce fait parti des composants physiques d’une infrastructure PKI et permet d’augmenter le niveau de sécurité en matière d’authentification des utilisateurs sur un réseau d’entreprise.

Ce matin, le client chez lequel je suis en mission me demande si nous pourrions configurer une action lorsqu’un utilisateur retire sa carte à puce du lecteur, par exemple : verrouiller sa session Windows automatiquement après le retrait de sa carte à puce.

Eh bien, c’ela est possible, et ce, a l’aide d’un paramètre de stratégie de groupe.

Comment ça marche ?

La configuration se fait en deux étapes :

1. Depuis la console de gestion des stratégies de groupe (GPMC.MSC), créez une GPO au niveau de l’OU contenant les ordinateurs du domaine sur lesquels vous voulez appliquer ce paramètre, faites ensuite un clic droit dessus et sélectionnez Editer.

=> Naviguez jusqu’au Configuration ordinateur \ Paramètre Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité.

=> Localisez le paramètre de stratégie de groupe Ouverture de session interactive : comportement lorsque la carte à puce est retirée, comme montré ci-après :

 

 

=> Double-cliquez dessus et choisissez Verrouiller la station de travail comme action, voir image ci-après:

 

2. Deuxième étape consiste tout simplement à configurer le type de démarrage du service Stratégie de retrait de la carte à puce en Automatique ou Automatique (début différé) sur les postes de travail. Je vous recommande le type Automatique (début différé) pour éviter tout verrouillage automatique de l’ordinateur avant même le chargement complet du programme /driver de la carte à puce et donc avant même le retrait de la carte à puce par l’utilisateur.

Note : vous pouvez utiliser la commande suivante pour configurer le service Stratégie de retrait de la carte à puce en Automatique (début différé) au lieu de passer par la console « Services »

! : la commande est à lancer depuis une Invite de commande en Mode Administrateur

sc config « SCPolicySvc » start= delayed-auto

Enfin, redémarrez vos postes de travail pour que les modifications soient prises en compte (application GPO & Configuration du service).

J’espère que cette article pourra vous être utilise.

Désactiver l’affichage de la « Charms Bar » sous Windows 8 et 8.1

@Echo « Hello World »,

Si vous utilisez Windows 8 ou Windows 8.1 vous avez probablement eu l’occasion de découvrir la nouvelle barre latérale qui apparaît sur la droite de l’écran, il s’agit de la barre des charmes ou « Charms Bar« .

Cette dernière apparaît « subitement » dès que le curseur de votre souris est placé dans le coin supérieur & inférieur droit de votre écran. Elle est accessible également via le raccourci clavier : Drapeau Windows + C

Certaines personnes préfèrent ne pas utiliser cet affichage automatique de la barre des charmes parce qu’il arrive bien entendu que le curseur de la souris se retrouve par accident sur l’un des coins (supérieur droit ou inférieur droit) ce qui provoque l’affichage inopiné de cette barre.

 

COMMENT DÉSACTIVER L’AFFICHAGE AUTOMATIQUE DE LA CHARMS BAR SOUS WINDOWS 8 ?

1. Depuis l’interface Moderne, saisir : Regedit

2. L’outil Regedit apparaît dans la liste, faites un clic droit dessus ensuite sélectionnez Exécuter comme qu’Administrateur

3. Naviguez jusqu’au HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ImmersiveShell\

4. Faites un clic droit sur ImmersiveShell => Nouveau => Clé

5. Nommez la clé créée EdgeUI

6. Faites cette fois ci un clic droit sur la clé EdgeUI => Nouveau => Valeur DWORD 32 bit

7. Nommez la valeur DWORD créée DisableCharmsHint

8. Double-cliquez sur DisableCharmsHint et saisissez 1 comme Données de la valeur

Placez le curseur de votre souris par exemple dans le coin supérieur droit de l’écran et notez le résultat.

Note: vous pouvez à tout moment réactiver l’affichage automatique de la barre des charmes en attribuant la valeur 0 à la clé DisableCharmsHint depuis l’éditeur de registre (Regedit).

 

COMMENT DÉSACTIVER L’AFFICHAGE AUTOMATIQUE DE LA CHARMS BAR SOUS WINDOWS 8.1 ?

La procédure décrite ci-dessus est valable aussi pour Windows 8.1

En revanche, avec  Windows 8.1, nous avons désormais la possibilité de désactiver l’affichage automatique de la barre des charmes depuis les propriétés de la barre des tâches, MAIS uniquement pour le coin supérieur droit.

En effet, on faisait un clic droit sur la barre des tâches => Propriétés => onglet « Navigation« , nous pouvons décocher l’option « Lorsque je pointe ver le coin supérieur droit, afficher les icônes » pour ne plus afficher automatiquement la barre des charmes en pointant le curseur de la souris dans le coin supérieur droit.

Le coin inférieur droit restera toujours actif, si vous souhaitez le désactiver aussi, appliquez la procédure expliquée précédemment (création de la valeur DWORD DisableCharmsHit).

Note: Depuis Windows 8.1, la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ImmersiveShell\EdgeUi est déjà présente, vous avez juste à créer la valeur DWORD DisableCharmsHint et lui attribuant la donnée de valeur 1

Astuce 🙂

Vous pouvez aussi utiliser Charms Bar Killer, un « Freeware » développé par WinAero, cette app est compatible avec :

• Windows 8 (x86 & x64)
• Windows 8.1 (x86 & x64)

——————————————————————————————————–

Lien de téléchargement : http://winaero.com/comment.php?comment.news.219

——————————————————————————————————–

Une fois installée, une icône est ajoutée dans la barre de notification permettant de désactiver complètement la barre des charmes (Kill Charms Bar) ou de désactiver l’affichage automatique via le coin inférieur gauche de l’écran (Kill Top Left Corner).

Reg.exe | Guide pas à pas

L’outil Reg.exe est natif dans les systèmes d’exploitation Windows Server et Windows Client.

Il permet d’effectuer des opérations sur le Registre Windows (BDR), comme l’ajout, suppression, modification et affichage des informations des sous-clés de Registre ou valeurs.

Vous avez sûrement eu l’occasion d’utiliser l’outil graphique Regedit.exe, qui est fourni /installé aussi avec Windows Server ou Windows Client, eh bien Reg.exe permet de faire la même chose et présente en plus l’avantage d’être directement utilisable dans les scripts, e.i script Batch (fichier .bat).

 

Article en cours de rédaction …

Diskpart.exe | Guide pas à pas

Article en cours de rédaction …

DNSCmd.exe | Guide pas à pas

Article en cours de rédaction …

Netdom.exe | Guide pas à pas

Article en cours de rédaction …

DISM.exe | Guide pas à pas

Article en cours de rédaction …

Netsh.exe | Guide pas à pas

Article en cours de rédaction …

Shutdown.exe | Guide pas à pas

 

S’applique à : Windows Vista, Windows 7, Windows 2008 Server, Windows 2008 Server R2, Windows 8, Windows 8.1, Windows 2012 Server, Windows 2012 Server R2

A noter que certains paramètres et instructions ne sont disponibles que sur les dernières versions de Windows Server ou Windows Client, e.i Windows 8 ou Windows 2012 Server : : lancer shutdown.exe /? dans un premier pour vérifier la liste des paramètres disponibles.

 

Shutdown.exe est un outil en ligne de commande natif dans les systèmes d’exploitation Windows Server et Windows Client.

Il permet d’arrêter ou de redémarrer un ordinateur local ou distant.

Il permet aussi de mettre en veille un ordinateur, fermer une session utilisateur en cours ou encore planifier l’arrêt ou le redémarrage d’un ordinateur local ou distant.

Enfin, l’outil Shutdown pourra vous être utile si vous gérez des infrastructures systèmes sous Windows Server Core, 2008 /2008 R /2012 /2012 R2, en effet dans une installation minimale « Core » de Windows Server, la GUI (Graphical User Interface ou Interface Graphique Utilisateur) est absente et tout doit se faire en ligne de commande.

 

Syntaxe :

Shutdown [{-l|-s|-p|-r|-g|-h|-a|-i|-e|-o}] [/hybrid] [-f] [-m [\NomOrdinateurDistant]] [-t xxx] [-c « Commentaire »] [-d[u][p]:xx:yy]

-? | Help | Pour obtenir de l’aide. N’hésitez pas à utiliser shutdown /? ou shutdown -? pour connaître la liste complète des paramètres disponibles pour la version de Windows installée sur vos postes de travail.

-l | logoff | pour fermer la session Windows en cours

-s | shutdown | pour arrêter l’ordinateur

-p | pour Arrêter l’ordinateur sans délai d’expiration ou avertissement (équivalent de shutdown -s -f -t 0)

-r | restart | pour redémarrer l’ordinateur

-g | global | Pour redémarrer l’ordinateur et redémarrer ensuite toutes les applications enregistrées

-h | hibernate | pour mettre l’ordinateur en veille prolongée

-a | abort | pour abandonner /annuler une action (arrêt ou redémarrage), pratique quand vous avez planifié un arrêt avec le paramètre -t

-i | interface | Pour arrêter ou redémarrer un ordinateur distant en utilisant une interface graphique

-e | Pour documenter la raison de l’arrêt inattendu de l’ordinateur local ou distant

-o | options | Permet d’accéder au menu des options de démarrages avancées et redémarrer l’ordinateur. Ce paramètre doit être utilisé avec l’option -r

-f | force | pour forcer une action (arrêt ou redémarrage), c’est pratique quand vous voulez forcer l’arrêt des programmes en cours avant redémarrage ou arrêt de l’ordinateur local ou distant.

-t | time | pour définir une durée avant arrêt ou redémarrage de l’ordinateur au bout de xxxx secondes

 -c | comment | Pour spécifier un commentaire sur la raison de l’arrêt ou redémarrage de l’ordinateur

Exemples :

Pour vous déconnecter d’une session Windows (fermer la session Windows en cours)

=> Shutdown -l

Pour Mettre l’ordinateur en veille prolongée

=> Shutdown -h

Pour Arrêter l’ordinateur dans moins d’une minute

=> Shutdown -s 

Pour Arrêter l’ordinateur « immédiatement » sans délai d’expiration ou avertissement

=> Shutdown -p

Pour Arrêter l’ordinateur « immédiatement » et forcer la fermeture des applications en cours d’exécution (équivalent de Shutdown -p)

=> Shutdown -s -f -t 0

Pour Redémarrer l’ordinateur  dans moins d’une minute

=> Shutdown -r

Pour Redémarrer l’ordinateur  « immédiatement » et forcer la fermeture des applications en cours d’exécution

=> Shutdown -r -f -t 0

Pour utiliser l’interface graphique « Arrêt à distance » 

=> Shutdown -i

 

-> Cliquez ensuite sur Ajouter et ajoutez les ordinateurs distants (postes de travail et serveurs) à arrêter ou redémarrer, séparez les par la touche Entrée du clavier, configurez ensuite les options (tâche : redémarrer – arrêter | Délai d’avertissement en seconde | Commentaire …)

 Pour annuler l’arrêt ou le redémarrage planifié d’un ordinateur

=> Shutdown -a

Pour Arrêter un ordinateur distant dans moins d’une minute

=> Shutdown -m \Nom_ou_IP_OrdinateurDistant -s  | e.i shutdown -m \Serveur01 -s OU shutdown -m \10.20.30.101 -s

Pour Arrêter un ordinateur distant « immédiatement »  sans délai d’expiration ou avertissement

=> Shutdown -m \Nom_ou_IP_OrdinateurDistant -p | e.i  shutdown -m \Serveur01 -p OU shutdown -m \10.20.30.101 -p

Pour Arrêter un ordinateur distant « immédiatement » et forcer la fermeture des applications en cours d’exécution

=> Shutdown -m \Nom_ou_IP_OrdinateurDistant -s -f -t 0 | e.i  shutdown -m \Serveur01 -s -f -t 0 OU shutdown -m \10.20.30.101 -s -f -t 0

Pour Redémarrer un ordinateur distant dans moins d’une minute

=> Shutdown -m \Nom_ou_IP_OrdinateurDistant -r  | e.i shutdown -m \Serveur01 -r OU shutdown -m \10.20.30.101 -r

Pour Redémarrer un ordinateur distant « immédiatement » et forcer la fermeture des applications en cours d’exécution

=> Shutdown -m \Nom_ou_IP_OrdinateurDistant -r -f -t 0 | e.i  shutdown -m \Serveur01 -r -f -t 0 OU shutdown -m \10.20.30.101 -r -f -t 0

Pour Redémarrer un ordinateur distant sous un délai de 5 minutes et spécifier la raison du redémarrage

=> Shutdown -m \Nom_ou_IP_OrdinateurDistant -r -f -t 300 -c « Redémarrage planifié dans 5 minutes suite application des mises à jour »

e.i  shutdown -m \Serveur01 -r -f -t 300 -c « Redémarrage planifié dans 5 minutes suite application des mises à jour »

OU

shutdown -m \10.20.30.101 -r -f -t 300 -c « Redémarrage planifié dans 5 minutes suite application des mises à jour »

 

Le délai des scripts d’ouverture de session sous Windows 8.1

Avec la sortie de Windows 8.1 (et aussi de Windows 2012 Server R2), certains changements ont été apportées aux stratégies de groupe et de nouveaux paramètres ont vu le jour.

Parmi ces changements, c’est le délai d’exécution des scripts d’ouverture de session qui est désormais définit à 5 minutes.

En effet, après avoir configuré un ou plusieurs scripts d’ouverture de session via l’éditeur de stratégie de groupe local (GPEDIT.MSC) ou la console de gestion des stratégies de groupe (GPMC.MSC), par exemple un script batch permettant de mapper un lecteur réseau sur des postes de travail exécutant Windows 8.1, le script n’est exécuté qu’après 5 minutes après l’ouverture de session.

Microsoft a jugé utile ce délai avant exécution des scripts d’ouverture de session pour optimiser les performances du poste de travail (ouverture de session utilisateur, chargement des programmes au démarrage …).

1. Pour changer ce paramètre de stratégie de groupe, naviguez jusqu’au :

Configuration Ordinateur\Modèles d’administration\Système\Stratégie de groupe\

1. Doublez-cliquez sur le paramètre de stratégie de groupe « Configurer le délai des scripts d’ouverture de session »

1. Cliquez sur « Activé » et définissez la valeur de « Minute » à 0

Les scripts d’ouverture de session seront désormais exécutés juste après l’ouverture de session Windows des utilisateurs.