7.7. Exécution du client sur l’écran de connexion

Ce chapitre est uniquement pertinent pour les environnements exécutant l’édition professionnelle IDERI note. Donc, si votre environnement exécute l’édition lite ou l’édition standard IDERI note, vous pouvez ignorer tout ce chapitre.

7.7.1. Vue d’ensemble

Dans une configuration client standard IDERI note, le programme client IDERI note s’exécute sur le bureau de l’utilisateur et s’authentifie ainsi en tant qu’utilisateur connecté de manière interactive par rapport au serveur IDERI note. Avoir le client IDERI note exécuté en plus sur l’écran de connexion d’un ordinateur de domaine fournit un ensemble d’obstacles qui ne sont pas faciles à surmonter et posent un certain nombre de défis et de limitations associées à une solution à ce problème. Tout d’abord, l’écran de connexion ne permet pas d’exécuter une application telle que le client IDERI note sans l’aide d’un service qui s’exécute dans le compte SYSTEM (c’est à dire “LocalSystem”) de l’ordinateur. De plus, une application sur l’écran de connexion (c’est à dire “Winlogon Desktop”) requiert également que l’application s’exécute dans le compte SYSTEM. Il n’y a aucun moyen de lancer un processus sur l’écran de connexion avec le compte d’un utilisateur connecté de manière interactive. Dans le cas du client IDERI note, lorsqu’il est installé avec la possibilité d’exécuter le client sur l’écran de connexion, le service inclsess lancera une instance de client IDERI note s’exécutant dans le compte SYSTEM sur chaque écran de connexion créé par le système informatique client. Exécution du client IDERI note dans le compte SYSTEM implique également que ces clients ne s’authentifieront jamais en tant que compte d’ordinateur Active Directory® contre le serveur IDERI note. Par conséquent, ces instances de client s’exécutant sur l’écran de connexion ne peuvent afficher que les messages destinés au compte d’ordinateur Active Directory® de l’ordinateur membre du domaine. Par conséquent, les messages qui sont censés apparaître sur l’écran de connexion doivent avoir le mode d’adressage “Envoyer un message aux utilisateurs et aux ordinateurs” ou le mode d’adressage “Envoyer uniquement le message aux ordinateurs”, ce qui explique également pourquoi cette fonctionnalité n’est disponible que avec des serveurs fonctionnant en mode de licence “professionnel”. La figure 7.22 montre un exemple de fenêtre de message et de bannière défilante IDERI note en cours d’exécution sur l’écran de connexion.

L'écran de connexion Windows® 10 affichant une fenêtre de message et la bannière défilante

Figure 7.22: L’écran de connexion Windows® 10 affichant une fenêtre de message et la bannière défilante IDERI note

7.7.2. Options de message pour l’écran de connexion

La prise en charge de l’affichage des messages sur l’écran de connexion est réalisée avec les deux options de message suivantes : “Afficher le message sur l’écran de connexion” et “Afficher le message uniquement sur l’écran de connexion”. Avec la première option, des messages IDERI note peuvent être créés qui apparaissent à la fois sur le bureau de l’utilisateur et sur l’écran de connexion. Lorsque vous utilisez la deuxième option, “Afficher le message uniquement sur l’écran de connexion”, le message sera uniquement affiché sur les écrans de connexion, pas sur les bureaux des utilisateurs connectés individuellement.

7.7.3. Considérations sur la sécurité et les performances

Lorsque vous pensez à l’écran de connexion Windows, il est important de savoir qu’il n’existe pas d’écran de connexion unique. Une partie inhérente de l’architecture Windows NT est la division des bureaux avec différents paramètres de sécurité au sein des sessions de terminal. Par conséquent, chaque session de terminal possède son propre écran de connexion appelé “winlogon”. Le service inclsess lancera donc le client IDERI note sur chaque bureau winlogon dès qu’une session de terminal est créée. Cela signifie également que, pour chaque session de terminal sur un serveur Terminal Server, une instance client supplémentaire avec sa propre connexion au serveur IDERI note est créé. Certaines versions de Windows créeront des sessions de terminal supplémentaires en excès, de sorte qu’une session de terminal est déjà préparée pour le prochain utilisateur interactif auquel se connecter. Étant donné que les utilisateurs de session de terminal sur un serveur de terminal Windows classique n’interagissent normalement qu’avec l’écran de connexion lors de la connexion et lors de l’élévation d’une application, l’activation de cette fonctionnalité sur un serveur de terminal Windows ne présente que peu d’avantages. Notez également que certaines versions du client Windows Terminal Server, si elles sont autorisées à se connecter à un ordinateur Windows compatible RDP, afficheront le contenu de l’écran de connexion avant l’authentification, de sorte que les messages destinés à l’écran de connexion peuvent être révélés à des tiers à travers le réseau sans authentification. Mais même si l’accès RDP à un ordinateur est mis de côté pour le moment, avoir le client IDERI note s’exécutant sur l’écran de connexion permet à tous les passants ou plus généralement, à tout observateur physique de l’écran de l’ordinateur, de voir les messages destinés à l’écran de connexion de l’ordinateur. Après tout, c’est la nature même de cette fonctionnalité, pour afficher des messages sur l’écran de l’ordinateur même si l’utilisateur connecté a verrouillé l’écran ou qu’aucun utilisateur n’est connecté sur l’ordinateur. Vous devez donc évaluer très attentivement sur quels ordinateurs activer cette fonction. Il est très peu ou pas du tout sens d’activer cette fonctionnalité sur un serveur Terminal Server pur, car les utilisateurs n’ont pas ou seulement un accès limité à cette fonctionnalité, tout en imposant une charge considérable au serveur Terminal Server lui-même, et plus particulièrement, sur le serveur IDERI note auquel les clients de l’écran de connexion se connectent finalement. C’est aussi la raison pour laquelle cette fonctionnalité n’est pas activée par défaut pour une installation client et serveur IDERI note.

7.7.4. Activation de la fonctionnalité client de l’écran de connexion

L’activation de la fonctionnalité d’accès à l’écran de connexion sur un client nécessite que le client soit installé avec la propriété MSI STARTWINLOGONCLIENTS définie sur une valeur non nulle ou - lors de l’installation interactive du fichier msi clien - en cochant la case intitulée «Exécuter le client sur l’écran de connexion» sur la page de l’assistant «Options de démarrage du client de l’écran d’ouverture de session» de la configuration du client.

7.7.5. Activation de la fonctionnalité du serveur d’écran de connexion

Après une installation du serveur IDERI note avec les paramètres par défaut, le serveur IDERI note est configuré de telle manière qu’il n’autorise pas la connexion des clients qui s’exécutent sur l’écran de connexion. Ainsi, même si les clients sont configurés pour démarrer le service inclsess et lancent donc des instances inotecln.exe sur les écrans de connexion, ces clients ne se connecteront jamais avec succès à leur serveur IDERI note, sauf si le serveur autorise les connexions pour les clients s’exécutant sur l’écran de connexion. Autoriser les connexions des clients s’exécutant sur l’écran de connexion se fait avec l’applet du panneau de configuration du serveur IDERI note sur la page intitulée “Accès à l’écran d’ouverture de session” et la case à cocher “Autoriser l’accès pour les clients s’exécutant sur l’écran d’ouverture de session”. En outre, l’accès à partir des clients s’exécutant sur l’écran de connexion peut être affiné en autorisant ou en refusant l’accès à l’aide des comptes informatiques Active Directory® ou groupes de comptes d’ordinateur Active Directory® avec la boîte de dialogue de contrôle d’accès qui est lancée en cliquant sur le bouton “Droits d’accès” sur la page d’applet du panneau de configuration susmentionnée. Par défaut, après une installation standard, l’accès est autorisé pour les utilisateurs authentifiés. Ainsi, après avoir activé l’accès à l’écran de connexion en activant la case à cocher intitulée «Autoriser l’accès pour les clients s’exécutant sur l’écran de connexion», tous les clients de l’écran de connexion qui se connectent au serveur IDERI note sont autorisés à accéder. Par conséquent, si vous avez l’intention d’utiliser cette fonctionnalité sur un ensemble sélectionné d’ordinateurs, vous pouvez également affiner l’accès à cet ensemble d’ordinateurs uniquement à l’aide de la boîte de dialogue de contrôle d’accès pour l’accès à l’écran de connexion. Cette boîte de dialogue de contrôle d’accès peut également être invoquée depuis l’administrateur IDERI note. Notez qu’après avoir activé l’accès à l’écran de connexion sur le serveur IDERI note, les clients éligibles exigent que leur service inclsess soit redémarré.

Attention

L’activation de la fonctionnalité du serveur d’écran de connexion nécessite un redémarrage du client

Lors de l’activation de la fonctionnalité d’écran de connexion sur IDERI note en cochant la case intitulée “Autoriser l’accès aux clients s’exécutant sur l’écran de connexion” l’applet du panneau de configuration du serveur IDERI note sur la page intitulée “Accès à l’écran d’ouverture de session”, un redémarrage du service (inotesvc) est requis, comme avec la plupart des fonctionnalités qui peuvent être configurées dans cette applet du panneau de configuration. Contrairement à d’autres fonctionnalités de cette applet du panneau de configuration, l’activation de cette fonctionnalité nécessite également un redémarrage de tous les ordinateurs clients éligibles actuellement connectés au serveur IDERI note, ou un redémarrage de leur service inclsess.

7.7.6. Lancement des liens de message sur l’écran de connexion

Lancement d’un programme arbitraire sur l’écran de connexion, comme c’est le cas avec les liens de messages IDERI note, est généralement une très mauvaise idée, car elle ouvre une voie d’attaque pour tout utilisateur ordinaire assis devant un tel ordinateur. L’attaque possible avec une telle configuration est une variante de la fameuse “attaque fracassante” qui sévissait dans les installations de Windows XP et Server 2003 avec des services interactifs exécutés dans le compte SYSTEM et qui a finalement conduit à l’architecture “d’isolement zéro de session” de Windows Vista et ses successeurs. Par conséquent, le client IDERI note n’autorise pas l’exécution de liens lors de l’exécution sur l’écran de connexion pour des raisons de sécurité. Selon les commentaires des clients, les futures versions du client IDERI note peut inclure une application de visualisation simple pour un certain nombre de types d’images tels que JPEG ou PNG, qui est immunisée contre une attaque fracassante montée sur un logiciel exécuté sur l’écran de connexion.