Comment verrouiller Windows XP pour l'utiliser comme kiosque Internet?

L'un de nos clients, dont nous avons construit le site Internet, est un fabricant de vélos ultra haut de gamme. Ils aimeraient distribuer des kiosques - essentiellement des boîtiers Windows XP verrouillés de Dell - chez certains de leurs revendeurs les plus prestigieux. Les kiosques se limiteraient à parcourir le site Web du fabricant. Je suis hors de mon élément ici et j'apprécierais de l'aide et / ou une bonne lecture (et / ou des instructions pas à pas; -]) sur:

• Sécuriser le bureau de la stupidité occasionnelle. Les kiosques sont déployés dans des boutiques de cyclisme haut de gamme, donc compte tenu de la clientèle, les attaques malveillantes seront extrêmement rares.
• Autoriser l'accès à des adresses Web spécifiques uniquement.
• Restauration d'un kiosque à distance. Idéalement, la solution est assez simple à manipuler pour un vendeur de vélos avec un minimum de prise en main par téléphone.

Enfin, je suis parfaitement ouvert aux réponses qui se résument à "vous êtes bien au-dessus de votre tête ici, consultez un professionnel". J'en ai discuté autant lorsque le poste a été proposé en premier lieu, mais j'étais convaincu d'essayer de m'en charger avant de trouver quelqu'un avec une expérience plus poussée en administration de systèmes.

Windows SteadyState est un outil gratuit de Microsoft pour effectuer exactement ce que vous recherchez. Il est également facile à configurer et à gérer et semble être parfaitement adapté à votre déploiement de kiosque.

Windows SteadyState comprend les fonctionnalités suivantes pour vous aider à gérer vos ordinateurs partagés:

Protection des disques Windows - Aide à protéger la partition Windows, qui contient le système d'exploitation Windows et d'autres programmes, contre toute modification sans l'approbation de l'administrateur. Windows SteadyState vous permet de définir la protection des disques Windows pour supprimer toutes les modifications au redémarrage, pour supprimer les modifications à une certaine date et heure, ou pour ne pas supprimer les modifications du tout. Si vous choisissez d'utiliser la protection des disques Windows pour supprimer les modifications, toutes les modifications apportées par les utilisateurs partagés lorsqu'ils sont connectés à l'ordinateur sont supprimées au redémarrage de l'ordinateur.
Restrictions et paramètres utilisateur - Les restrictions et paramètres utilisateur peuvent aider à améliorer et à simplifier l'expérience utilisateur. Limitez l'accès des utilisateurs aux programmes, paramètres, éléments du menu Démarrer et options dans Windows. Vous pouvez également verrouiller les comptes d'utilisateurs partagés pour empêcher la conservation des modifications d'une session à la suivante.
Gestionnaire de comptes d'utilisateurs - Créez et supprimez des comptes d'utilisateurs. Vous pouvez utiliser Windows SteadyState pour créer des comptes d'utilisateur sur des lecteurs alternatifs qui conserveront les données et les paramètres utilisateur même lorsque la protection des disques Windows est activée. Vous pouvez également importer et exporter les paramètres utilisateur d'un ordinateur à un autre, économisant ainsi un temps et des ressources précieux.
Restrictions informatiques - Contrôlez les paramètres de sécurité, les paramètres de confidentialité, etc., comme empêcher les utilisateurs de créer et de stocker des dossiers dans le lecteur C et d'ouvrir des documents Microsoft Office à partir d'Internet Explorer®.
Planifier les mises à jour logicielles - Mettez à jour votre ordinateur partagé avec les dernières mises à jour logicielles et de sécurité lorsque cela vous convient, ainsi qu'à vos utilisateurs partagés.

SteadyState prend en charge Windows XP Professionnel, Édition familiale, Édition Tablet PC, ainsi que Windows Vista Professionnel, Entreprise, Intégrale, Familiale Basique, Familiale Premium et Starter. La configuration matérielle requise est la même que pour Windows XP et Windows Vista, donc tout ordinateur qui exécute bien ces systèmes d'exploitation devrait également pouvoir exécuter Windows SteadyState.

Je dirais pour des raisons de simplicité, jetez un œil à l'utilisation d'un CD / lecteur USB amorçable pour charger un système d'exploitation Linux léger pour permettre la navigation sur le site Web.

Les kiosques n'étant utilisés que pour parcourir un site Web, vous n'avez vraiment pas besoin de la complexité de sécuriser Windows lorsqu'il existe des solutions préconfigurées que vous pouvez consulter.

Consultez le blog de Matts Tech sur les CD de kiosque amorçable

Cela devrait vous orienter dans la bonne direction avec des liens vers KioskCD et Boothbox (un CD open source de type Kiosk.

J'utilise Windows SteadyState sur plus de 75 machines.

Il est totalement gratuit et offre de nombreuses restrictions spécifiques ainsi que le verrouillage du disque dur afin qu'il soit restauré dans un état préconfiguré spécifique à chaque redémarrage. Par exemple, si un utilisateur parvient à infecter la machine avec des logiciels malveillants, un redémarrage l'effacera immédiatement.

Il y a beaucoup trop d'options à mentionner ici, mais SS fera tout ce que vous avez mentionné dans votre question et plus encore. Téléchargez-le et essayez-le. C'est un très petit téléchargement et il est très facile à configurer et à utiliser.

Quelques idées pour vous:

J'ai fait un travail comme ça pour un client il y a quelques années. J'ai configuré Windows XP pour démarrer Internet Explorer en "mode kiosque" comme shell, et j'ai désactivé les menus contextuels. Aucun clavier n'était présent sur cet appareil, donc l'utilisateur n'a pas pu quitter le mode plein écran.

Si je devais le faire aujourd'hui, je commencerais à chercher des extensions de kiosque pour Firefox ou des "shells" pour Internet Explorer dans un premier temps.

Pour empêcher les fuites de mémoire dans le navigateur de retirer l'unité, j'ai utilisé un économiseur d'écran pour fermer la session sur l'ordinateur après un délai d'inactivité, après quoi il s'est à nouveau connecté automatiquement. J'ai également planifié un redémarrage nocturne pour empêcher les processus d'arrière-plan de fuir la mémoire.

Sur le plan de la récupération, il serait assez trivial de créer une clé USB amorçable Windows PE / BartPE pour recréer l'image de la machine (ImageX, Ghost, tout ce que vous voulez utiliser) en cas d'échec.

Sur le front "accès uniquement à certains sites Web": vous pourrez peut-être vous en sortir en pointant le DNS sur le PC vers un serveur DNS restrictif qui ne desservait que les zones des sites auxquels vous vouliez autoriser l'accès. Vous pouvez utiliser un fichier "HOSTS", mais vous rencontrez des problèmes de mise à jour si l'une de ces adresses IP change. Vous pouvez utiliser un logiciel de filtrage de type "netnanny" sur le PC, mais je n'ai aucune expérience à ce sujet. Enfin, vous pouvez configurer le PC pour utiliser un serveur proxy (hébergé localement sur le PC ou centralement sur le 'net) et filtrer les demandes de cette façon.

Ce vieux travail de kiosque était vraiment amusant, en partie parce que le kiosque lui-même n'avait pas de connectivité Internet! Il a exécuté une pile Apache / PHP / MySQL et un serveur DNS générique en arrière-plan et a servi le site à lui-même et aux autres kiosques de la région via WiFi! Vous pouvez même charger des mises à jour du contenu du kiosque à partir d'une clé USB ou d'un CD (avec un fichier d'authentification approprié sur le support). Si vous tentiez de surfer en dehors du site principal qu'il hébergeait, un hôte virtuel générique et le DNS générique vous amèneraient à une page "Désolé, vous ne pouvez pas y arriver ...".

J'aurais aimé avoir utilisé une solution basée sur Linux pour ce travail, mais le client avait une exigence que j'utilise Windows. J'aurais fini par faire une chose très similaire avec un système basé sur Linux de toute façon, car cela permettait au client de charger son site Web en direct sur un kiosque qui, autrement, n'avait pas accès à Internet et ne nécessitait pas les développeurs de leur site Web. pour apporter des modifications (c'est-à-dire que le kiosque a exécuté tout le PHP et utilisé la base de données de la même manière que le vrai site Web). C'était très amusant!

En plus de l'option stableState ci-dessus, je recommanderais d'utiliser le plugin firefox "kiosk mode" suivant. Cela fonctionne assez bien pour moi.

https://addons.mozilla.org/en-US/firefox/addon/1659

Utilisez le Microsoft Shared Computer Toolkit pour Windows (alias Steadystate) ( http://www.microsoft.com/windowsxp/sharedaccess/default.mspx )

Mais pour en faire spécifiquement un kiosque - voir ci-dessous:

De Yuval Sinay MVP et http://support.microsoft.com/kb/555463

Pour configurer l'ordinateur local en mode Kiosque, veuillez suivre les étapes suivantes:

1. Allez dans "Démarrer" -> "Exécuter".

2. Écrivez "Regedit" et appuyez sur le bouton "Entrée".

3. Aller vers:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Avertissement: l'utilisation incorrecte de l'Éditeur du Registre (REGEDIT.EXE ou REGEDT32.EXE) peut entraîner de graves problèmes à l'échelle du système qui peuvent vous obliger à réinstaller Windows NT pour les corriger.

4. Dans la partie droite de l'écran, double-cliquez sur "Shell" REG_SZ.

5. Remplacez les "Données de valeur:" par de nouvelles données "iexplore -k http://www.msn.com "

6. Appuyez sur le bouton "Ok".

7. Si vous utilisez Windows XP, vous pouvez utiliser «Microsoft Shared Computer Toolkit for Windows XP»

      to enhanced the local computer settings: 
   

   Microsoft Shared Computer Toolkit pour Windows XP

   http://www.microsoft.com/windowsxp/sharedaccess/default.mspx

8. Redémarrez l'ordinateur.