Systèmes de restauration systématiques

Beaucoup d’entre nous rêvent d’avoir un système identique à chaque démarrage d’un ordinateur. Comme nous le savons tous, à chaque session, les systèmes d’exploitation chargent quantités d’informations diverses et variées, dont la nécessité n’est pas réellement prouvée dans un contexte d’utilisation impliquant de réguliers changement d’utilisateur….

Les solutions dont je vais vous parler reposent soit sur l’utilisation d’un matériel additionnel soit sur l’utilisation d’un logiciel. Une fois ce système déployé, l’utilisateur final à l’illusion de travailler sur un ordinateur tout à fait « normal ». Qu’il soit un utilisateur maladroit ou mal intentionné, il n’existe aucune limite: suppression de fichier, installation de logiciel, contagion virale de l’ordinateur… quoi qu’il arrive, à partir du moment ou l’ordinateur est redémarré, l’intégralité du système se retrouve dans son état d’origine.

Ces solutions on chacune leur mode de fonctionnement, leur avantages et leur inconvénients. Suite à la récupération d’un ancien parc d’ordinateur et l’acquisition de nouvelles machine, je me retrouve avec chacun[[En l’occurrence des WatchDog 2 Lite Edu, des SafetyCard 2 et des DeepFreeze 5.3 Edition Standard]] de ces système déployé sur mon parc, par conséquent je vais tenir ici un discours plus pratique et technique que commercial. De toute manière, comme vous le savez, je n’ai rien à vendre.

1 – WatchDog et SafetyCard (solutions matérielles)

1.1 – Présentation

Les dispositifs WatchDog et SafetyCard sont des petites cartes au format PCI qui doivent être insérées dans l’appareil à protéger. Une fois activées, elles garantissent un perpétuel retour à la configuration d’origine à chaque redémarrage de l’ordinateur.

Pour parler technique, cette carte comporte un BIOS interne qui, au démarrage de l’ordinateur intercepte le protocole classique d’accès au BIOS originel de la carte mère. Ce truchement permet d’effectuer une sauvegarde de la table d’allocation des fichiers – entendez par là la « FAT » – afin de faire travailler l’utilisateur sur un environnement virtuel. L’avantage de ce système est qu’il peut être totalement camouflé et n’utilise qu’un espace disque restreint, de l’ordre de 40Mo. L’autre grande particularité des ces systèmes est qu’il sont aussi capable d’enregistrer et de sauvegarder totalement la configuration du BIOS de la carte mère.

1.2 – Administration

Une fois installées dans l’ordinateur toute l’administration se fait à travers le BIOS de la carte, il suffit d’interrompre le processus de démarrage de l’ordinateur avec la combinaison de touche appropriée et l’on accède au menu de configuration de la carte (il va de soit que l’accès à ce menu est protégé par mot de passe). Celui-là est plus au moins évolué et propose un certain nombre de fonctionnalité comportant au moins:

  • Activation automatique de la restauration au démarrage
  • Enregistrement de la configuration
  • Rechargement de la configuration

1.3 – La WatchDog

De loin ma préférée, c’est l’ouvrière de l’ombre, quasiment invisible, Windows la reconnaît comme une carte réseau ce qui est plutôt discret et il faut être vraiment vigilant pour apercevoir ces messages POST au boot. Elle est très simple à mettre en place. Son installation se fait en trois temps:

  • Installation du pilote windows pour optimiser l’accès au disque dur
  • Insertion de la carte
  • Installation de micro-logiciel après le redémarrage
  • Configuration des options.

La carte de base (WatchDog 2 Lite) n’est capable de protéger qu’une seule partition Windows de type FAT ou NTFS. Les versions supérieures peuvent contrôler plus de partition et reconnaissent aussi des systèmes de fichier de type UNIX en toute indépendance du système d’exploitation.

Vous trouverez ici les différentes déclinaisons de cette carte.

1.4 – La SafetyCard

Cette carte, quant à elle, ne repose pas sur le principe de la discrétion, au contraire, son logiciel interne et développé autour d’un concept permettant de faire un choix au démarrage. Elle supporte plusieurs partitions bootables et plusieurs modes d’exploitation de ceux ci (restauration automatique ou à la demande par exemple). Il devient donc possible de choisir son système d’exploitation au démarrage comme avec un multiboot mais géré de manière hardware. Il est aussi possible de l’utiliser dans un contexte de restauration à la demande qui permet, par exemple d’exécuter des travaux nécessitant le redémarrage de l’ordinateur sans avoir besoin de la désactiver. A la fin de ce type de travail il suffira de choisir de restaurer la partition désiré. La SafetyCard qui s’installe de la même manière que la WatchDog à l’avantage de mieux supporter le système d’exploitation de type Windows 9x.

1.5 – Avantages et inconvénients

Le grand avantage des solution matérielles}} tient au fait qu’il est quasiment impossible de passer au travers, à moins de démonter l’ordinateur. Par définition ce système est indépendant de l’exécution du système d’exploitation, un démarrage à partir d’un disque bootable ou en mode sans échec restera sans conséquence : la protection reste effective.

Par contre le prix de ces solutions et le temps de déploiement est plus élevé que celui de solutions logicielles : il est nécessaire de démonter les ordinateurs… Le tarif minimum pour une WatchDog tourne autour de 50€ et il est de 70€ pour les SafetyCards qui offrent un panel d’options plus étoffé.

2 – DeepFreeze (solution logicielle)

2.1 – Présentation

Le logiciel de base, DeepFreeze 5.3 Standard, se présente sous la forme d’un petit logiciel à installer sur l’ordinateur à protéger, une fois mis en place il présente deux états de fonctionnement:

  • « Boot Frozen »: Le système est verrouillé au redémarrage
  • « Boot Thawed »: Le système n’est pas verrouillé au redémarrage

Le logiciel est particulièrement petit, de l’ordre de 2Mo, cependant, son fonctionnement nécessite 10% du disque dur pour stocker les informations dont il a besoin pour les restaurations.

Comme pour les cartes de sécurité, son système de fonctionnement est tenu inconnu par l’éditeur. Il semblerait là aussi que l’utilisateur travaille dans une sorte de partition virtuelle.

2.2 – Mise en service

La mise en service de ce logiciel est simple : il suffit de l’installer. Lors du processus, il nous demande quelle partition nous voulons verrouiller, après quoi on accepte les termes de la licence et le logiciel s’installe. Sa mise en place se termine par un redémarrage de l’ordinateur en mode « Thawed » Il ne reste plus qu’à finir sa configuration…

Une fois installé, un petit icône apparaît dans le system tray, à côté de l’heure. Si DeepFreeze est désactivé, une croix rouge clignote en surbrillance.

2.3 – Utilisation


Un menu permet de choisir le mode de redémarrage. C’est là que l’on découvre ce qui me semble être un des plus grand avantages de cette solution : il est possible de définir un nombre voulu de redémarrage sans protection avant que le système ne se verrouille automatiquement. Ceci est particulièrement utile, par exemple, lorsque l’on veut installer un logiciel qui nécessite de redémarrer le système pour terminer sa mise en service.

Comme on peut le voir sur la capture ci-dessus, le changement de mot de passe est particulièrement simple. Attention toutefois : il n’est pas possible, pour des raisons évidentes de sécurité, de récupérer un mot de passe perdu…

2.4 – Les différentes solutions

Les solutions DeepFreeze se déclinent en standard, professional, Enterprise. La version Professional apportant une sécurité accrue de mot de passe et la possibilité de définir une partie du disque non écrasé (pour les fichiers temporaires de l’utilisateur par exemple). La version Enterprise, quant à elle, apporte des outils de gestion réseaux des ordinateurs verrouillés. On notera aussi l’existence d’une version DeepFreeze standard pour Mac OS X.

2.5 – Avantages et inconvénients

Les principaux avantages de cette solution réside en son prix (on peut descendre à 15€ environ en fonction de la version et du volume commandé) et la facilité de mise en oeuvre. Pour l’anecdote, j’ai déployé DeepFreeze dans une salle de 11 postes en moins de 40 minutes.

Par contre, je reste encore sceptique sur certain point de sécurité : il semble tout à fait possible de contourner cette solution avec des média bootables ou en démarrant en mode sans échec. Je me demande aussi dans quel mesure ce système peut résister à une attaque virale qui pourrait détruire ses fichiers installés.

3 – Trucs et astuces

3.1 – Et la WatchDog 3?

Depuis un certain temps déjà, FNet a developpé une solution appellée WatchDog 3 que je n’ai malheureusement pas eu la chance d’avoir entre les mains. Il s’agit d’une solution logicielle qui se rapproche donc plus de DeepFreeze que d’autre chose.

3.2 – Ce qui change tout le temps sous Windows…

Et oui, qui dit restauration dit aussi restauration de l’heure… ce qui conduit parfois à des heures totalement aberrantes. Je ne connais pas encore la solution à ce problème… désactiver l’affichage de l’heure? mettre à jour sur le NTP à chaque démarrage? Conserver l’heure du BIOS… Si vous avez une solution, je suis à votre écoute.

3.3 – Restauration et Ghosts

Les cartes de restauration supportent sans problème les déploiement réseaux. Cependant, si vous voulez recréer une image à partir d’un ordinateur anciennement équipé d’une telle carte, je vous conseille de commencer par un formatage de bas niveau. Les solutions logicielles comme DeepFreeze ne posent aucun problème, elle peuvent même être déployées activées (pensez tout de même au nom de la machine).

4 – Réalisation et commercialisation

4.1 – WatchDog

Site Internet: http://www.future-soft.com.tw/

Revendeur:
Maiano Informatique
Chez Bourru
17240 Plassac
Tèl.: 05 46 49 48 68

4.2 – SafetyCard

Site Internet: http://www.beacontech.com.tw/

4.3 – DeepFreeze

Site Internet: http://www.faronics.com/

Importateur: SMD Systems

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *