Déploiement de la stratégie de sécurité
.gif "Remarque importante") Important |
|---|
Dans le .NET Framework version 4, le common language runtime (CLR) cesse de fournir des stratégies de sécurité pour les ordinateurs.Microsoft recommande l'utilisation des stratégies de restriction logicielles Windows à la place de la stratégie de sécurité CLR.Les informations contenues dans cette rubrique s'appliquent au .NET Framework versions 3.5 et antérieures ; elles ne s'appliquent pas aux versions 4 et ultérieures.Pour plus d'informations sur cette modification et d'autres modifications, consultez Modifications de sécurité dans le .NET Framework 4. |
La stratégie de sécurité peut être facilement déployée dans un fichier Windows Installer (.msi). Un fichier .msi est un package d'installation autonome qui peut être déployé, installé et désinstallé de plusieurs manières. Par exemple, vous pouvez déployer un fichier .msi de l'une des façons suivantes :
En exécutant le fichier .msi sur l'ordinateur où vous voulez déployer la stratégie, à partir du disque local ou d'un partage.
En utilisant une stratégie de groupe sur les serveurs Microsoft Windows.
En utilisant Microsoft Systems Management Server (SMS).
Création de fichiers Windows Installer
L'outil Mscorcfg.msc (outil .NET Framework Configuration) fournit un Assistant pour la création des fichiers Windows Installer. Cet Assistant peut créer un fichier d'installation correspondant à l'un des trois niveaux de stratégie configurables, mais pas tous simultanément. Si vous administrez la stratégie de sécurité pour les trois niveaux configurables, vous devez créer trois fichiers Windows Installer et les déployer séparément.
L'Assistant crée un fichier d'installation à l'aide des paramètres de stratégie en cours de l'ordinateur où l'Assistant s'exécute. Par exemple, pour créer une stratégie de l'utilisateur en vue d'un déploiement vers un groupe d'utilisateurs, vous devez configurer la stratégie de l'utilisateur sur votre ordinateur actuel, créer un fichier d'installation avec l'Assistant, puis rétablir l'état initial de la stratégie de l'utilisateur de l'ordinateur.
Pour créer un fichier Windows Installer :
Exécutez l'outil .NET Framework Configuration Tool (Mscorcfg.msc).
Dans les versions 1.0 et 1.1 du .NET Framework, tapez les informations suivantes à l'invite de commandes : %Systemroot%\Microsoft.NET\Framework\numéroVersion\Mscorcfg.msc.
Dans le .NET Framework 2.0 et les versions ultérieures, démarrez l'Invites de commandes Visual Studio e t Kit de développement logiciel (SDK) Windows et tapez mscorcfg.msc. L'invite de commandes du Kit de développement logiciel (SDK), qui définit automatiquement les variables d'environnement du SDK qui vous permettent d'utiliser facilement les outils du .NET Framework, est incluse dans le Kit de développement logiciel (SDK) Microsoft .NET Framework 2.0. Les versions suivantes du .NET Framework s'appuient de façon incrémentielle sur le .NET Framework version 2.0. Par conséquent, l'invite de commandes du Kit de développement logiciel .NET Framework 2.0 est l'invite de commandes du Kit de développement logiciel autonome le plus récent disponible. Vous pouvez également utiliser les invites de commandes Visual Studio fournies avec Visual Studio 2005 et les versions ultérieures.
Dans le volet de gauche, cliquez avec le bouton droit sur le nœud Stratégie de sécurité du runtime.
Dans le menu, choisissez Créer un package de déploiement.
Suivez les instructions de l'Assistant Deployment Package Wizard pour créer le fichier .msi.
Lorsque vous déployez la stratégie à l'aide d'un fichier de programme d'installation créé par l'outil Mscorcfg.msc (outil .NET Framework Configuration), les éléments suivants s'appliquent :
L'installation de la stratégie affecte uniquement la version du runtime que vous avez ciblée lorsque vous avez créé le fichier d'installation. Par exemple, si vous utilisez l'outil .NET Framework Configuration version 2.0, votre fichier d'installation modifie uniquement la stratégie du .NET Framework version 2.0.
Dans certains cas, le programme d'installation ne génère pas d'erreur si l'installation d'une nouvelle stratégie échoue. Pour vérifier que la stratégie a été correctement installée, vérifiez-la à l'aide de l'outil .NET Framework Configuration, l'Caspol.exe (outil Stratégie de sécurité d'accès du code), ou en inspectant manuellement les fichiers de la stratégie dans un éditeur de texte après le déploiement.
Pour mettre à jour la stratégie affichée par l'outil .NET Framework Configuration, vous devez arrêter puis redémarrer l'outil.
Déploiement personnalisé
Vous pouvez déployer les fichiers Windows Installer de plusieurs manières, y compris par un script de démarrage, une distribution par courrier électronique ou une distribution à partir d'un lecteur partagé. Pour déployer la stratégie de sécurité à partir d'un fichier Windows Installer, le plus simple est d'exécuter le fichier à partir de l'ordinateur où vous voulez mettre à jour la stratégie de sécurité. Pour ce faire, double-cliquez simplement sur le fichier .msi. Pour annuler l'installation, cliquez avec le bouton droit sur le fichier .msi et choisissez Uninstall (Désinstaller).
Assurez-vous que le compte d'utilisateur sous lequel la stratégie est installée possède les privilèges adéquats pour accéder aux fichiers de configuration que vous modifiez. Par exemple, si vous êtes actuellement connecté à l'aide d'un compte qui n'est pas autorisé à modifier le fichier de configuration entreprise, et si le fichier .msi que vous déployez doit modifier le fichier de configuration entreprise, l'installation échouera. Notez que le package Windows Installer ne produit pas une erreur si le compte en cours n'a pas l'autorisation suffisante pour modifier le fichier de configuration.
Déploiement de stratégie de groupe
Si vous utilisez un serveur Windows pour l'administration de la stratégie, vous pouvez utiliser la Stratégie de groupe avec un fichier Windows Installer pour déployer la stratégie de sécurité sur les postes de travail de votre réseau. Importez simplement le fichier d'installation à l'aide du composant logiciel enfichable MMC de stratégie de groupe, ou placez le fichier d'installation dans un répertoire préexistant que vous utilisez en tant que point d'installation. Une fois que vous avez configuré la Stratégie de groupe pour publier le fichier d'installation, la stratégie de sécurité sera mise à jour la prochaine fois que les utilisateurs ouvriront une session réseau. Notez qu'un contrôleur de domaine doit être présent sur le réseau pour que vous puissiez déployer la stratégie de sécurité à l'aide de Stratégie de groupe. Pour plus d'informations sur l'utilisation de la Stratégie de groupe, consultez l'aide de Microsoft Windows Server.
Déploiement de SMS
Vous pouvez utiliser Microsoft Systems Management Server (SMS) pour publier la stratégie de sécurité sur les ordinateurs d'un réseau. SMS est un produit serveur autonome qui gère l'installation et la configuration des logiciels dans les grandes entreprises. SMS est particulièrement utile dans les réseaux basés sur Windows NT Server, car il fournit la fonctionnalité Stratégie de groupe dont disposent les réseaux Windows Server. Utilisez l'une des méthodes compatibles pour convertir le fichier .msi en un package logiciel SMS, puis utilisez SMS pour installer le package comme n'importe quel autre package logiciel. Pour plus d'informations sur la création et le déploiement de packages logiciels SMS, consultez la documentation de SMS.