Interdiction base de registre par script .bat

Le
Richard_35
Bonjour à tous,

Est-il possible d'interdire l'accès à la base de registre par un script de
logon ".bat" (si possible, pas ".vbs") ?

Merci d'avance de vos réponses,
Richard.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #17437651
"Richard_35" de news:
Bonjour à tous,

Est-il possible d'interdire l'accès à la base de registre par un script de
logon ".bat" (si possible, pas ".vbs") ?




???????????????
TOUTES les clefs de la BDR possèdent leur propre LCA (Liste de contrôle
d'accès)

Par exemple (et par défaut) :
HKCU :
contrôle total à l'utilisateur courant
contrôle total aux administrateurs
HKLM :
accès en lecture à tout le monde
contrôle total aux administrateurs
(Certaines sous-clefs peuvent avoir un accès plus restreint)


Que veux-tu interdire ? A qui ? Pourquoi ? Quelle interdiction ?
Pourquoi un script en bat et non pas en VBS ?


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Richard_35
Le #17438751
Bonjour Jean-Claude,

Merci de ta réponse.

Oui, je sais que toutes les clefs de la BDR possèdent leur propre LCA, mais,
justement, existe-t-il un moyen d'intervenir sur ces LCA via un script ?

Pour répondre à tes questions :
- travaillant dans un secteur sensible et, à la demande de mon patron, j'ai
interdit aux users l'utilisation des périphériques de masse USB (clé,
disque). Pour info, si
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR"Start"=3, c'est
autorisé, si "Start"=4, c'est refusé.
- en ".bat", car je maîtrise mieux le langage "DOS" que le VB Script : en
cas de modification, je pourrais m'en charger.

Merci de tes conseils,
Richard.


"Jean-Claude BELLAMY" a écrit :

"Richard_35" de news:
> Bonjour à tous,
>
> Est-il possible d'interdire l'accès à la base de registre par un script de
> logon ".bat" (si possible, pas ".vbs") ?


???????????????
TOUTES les clefs de la BDR possèdent leur propre LCA (Liste de contrôle
d'accès)

Par exemple (et par défaut) :
HKCU :
contrôle total à l'utilisateur courant
contrôle total aux administrateurs
HKLM :
accès en lecture à tout le monde
contrôle total aux administrateurs
(Certaines sous-clefs peuvent avoir un accès plus restreint)


Que veux-tu interdire ? A qui ? Pourquoi ? Quelle interdiction ?
Pourquoi un script en bat et non pas en VBS ?


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org




Jean-Claude BELLAMY
Le #17446011
"Richard_35" de news:
[...]
Oui, je sais que toutes les clefs de la BDR possèdent leur propre LCA,
mais,
justement, existe-t-il un moyen d'intervenir sur ces LCA via un script ?

Pour répondre à tes questions :
- travaillant dans un secteur sensible et, à la demande de mon patron,
j'ai
interdit aux users l'utilisation des périphériques de masse USB (clé,
disque). Pour info, si
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR"Start"=3,
c'est
autorisé, si "Start"=4, c'est refusé.



Mais pourquoi alors vouloir modifier la LCA ?
Vu que la branche HKLMSytem est accessible seulement en LECTURE aux
non-administrateurs !!!!
A moins que tu aies mis tous tes "clients" dans le groupe des admins, mais
là, je (ni personne d'autre d'ailleurs) ne pourrais t'être d'aucun secours !
;-)


- en ".bat", car je maîtrise mieux le langage "DOS" que le VB Script : en
cas de modification, je pourrais m'en charger.



Ce qu'il te faut, si j'ai bien compris car ce n'est pas très clair (!),
c'est un batch/raccourci/ qui mette cette valeur à 3 ou 4 suivant l'humeur,
et qui sera exclusivement exécuté par toi ou un autre administrateur.

Si c'est cela, c 'est très simple, avec ce batch p.ex. :
Fichier "usbstor.cmd"
------------- couper ici -------------
@echo off
for %%R in (yes no) do if /i %1.==%%R. goto %%R
echo Syntaxe :
echo usbstor yes^|no
goto fin
:yes
set value=3
goto suite
:no
set value=4
:suite
REG ADD HKLMSystemCurrentControlSetServicesUSBSTOR /v Start /t
REG_DWORD /d %value% /F
:fin
------------- couper ici -------------


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
moi
Le #17446261
Bonjour,


============================ >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
LCA, mais, (...)
- travaillant dans un secteur sensible et, à la demande de mon
patron, (...)




============================
... Et ton "secteur sensible" c'est un réseau ?
avec un serveur controleur de domaine ?
avec des OU , des stratégies ?

Parce que ... pour faire ce type de manip,
l'utilisation des stratégies (machine et/ou utilisateurs)
est quand même nettement plus pratique...
C'est prévu pour !
d'autant que les ACL (or LCA ... as you want)
sur les branches de la BdR
peuvent aussi être modifiées ainsi .

Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
ces choses là de façon plus "rustique"
( je n'ai pas dit "agricole" ;o) ) .

Ainsi et pour me résumer,
la question initiale et le contexte restent à préciser....

HB
Herser
Le #17446451
Jean-Claude BELLAMY wrote:
"Jean-Claude BELLAMY" message de news:
[...]
Si c'est cela, c 'est très simple, avec ce batch p.ex. :
Fichier "usbstor.cmd"
------------- couper ici -------------
@echo off
for %%R in (yes no) do if /i %1.==%%R. goto %%R
echo Syntaxe :
echo usbstor yes^|no
goto fin
yes


set value=3
goto suite
no


set value=4
suite


REG ADD HKLMSystemCurrentControlSetServicesUSBSTOR /v Start /t
REG_DWORD /d %value% /F
fin


------------- couper ici -------------




Je me rends compte que mon lecteur de news (WLM) a coupé en 2
l'avant-dernière ligne de mon batch.
Donc la commande :
"REG ADD HKLM ... %value% /F"
doit être écrite sur une SEULE ligne !

NB: j'ai mis le batch en pièce-jointe, en souhaitant qu'il passe !



Bonjour
Ca passe chez moi, sous OE6, "Sécurité" réglé en "Zone Internet" et IE7
réglé par défaut.
Herser
Richard_35
Le #17447451
Bonjour Jean-Claude, Herser et "moi",

J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...

Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).

Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.

Je vous tiens au courant.
Merci encrore,
Richard.

"moi" a écrit :

Bonjour,


============================ > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
>> LCA, mais, (...)
>> - travaillant dans un secteur sensible et, à la demande de mon
>> patron, (...)
============================ >
.... Et ton "secteur sensible" c'est un réseau ?
avec un serveur controleur de domaine ?
avec des OU , des stratégies ?

Parce que ... pour faire ce type de manip,
l'utilisation des stratégies (machine et/ou utilisateurs)
est quand même nettement plus pratique...
C'est prévu pour !
d'autant que les ACL (or LCA ... as you want)
sur les branches de la BdR
peuvent aussi être modifiées ainsi .

Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
ces choses là de façon plus "rustique"
( je n'ai pas dit "agricole" ;o) ) .

Ainsi et pour me résumer,
la question initiale et le contexte restent à préciser....

HB




Richard_35
Le #17447601
Par contre, si vous avez, "tout prêt", ce qu'il faut faire, exactement, pour
interdire la modification de cette clé par les stratégies de groupe et par
regini.exe, cela m'arrangerait... par manque de temps...

Merci d'avance,
Richard.

"Richard_35" a écrit :

Bonjour Jean-Claude, Herser et "moi",

J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...

Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).

Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.

Je vous tiens au courant.
Merci encrore,
Richard.

"moi" a écrit :

> Bonjour,
>
>
> ============================ > > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
> >> LCA, mais, (...)
> >> - travaillant dans un secteur sensible et, à la demande de mon
> >> patron, (...)
> ============================ > >
> .... Et ton "secteur sensible" c'est un réseau ?
> avec un serveur controleur de domaine ?
> avec des OU , des stratégies ?
>
> Parce que ... pour faire ce type de manip,
> l'utilisation des stratégies (machine et/ou utilisateurs)
> est quand même nettement plus pratique...
> C'est prévu pour !
> d'autant que les ACL (or LCA ... as you want)
> sur les branches de la BdR
> peuvent aussi être modifiées ainsi .
>
> Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
> ces choses là de façon plus "rustique"
> ( je n'ai pas dit "agricole" ;o) ) .
>
> Ainsi et pour me résumer,
> la question initiale et le contexte restent à préciser....
>
> HB
>
>


Jean-Claude BELLAMY
Le #17448671
"Richard_35" de news:
Bonjour Jean-Claude, Herser et "moi",

J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...


Évidemment, mais normalement, les utilisateurs lambdas n'ont pas accès en
écriture à cette clef ...

Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).



C'est ABSOLUMENT A-NOR-MAL !!!!!
Un utilisateur "lambda" n'a que des droits en lecture sur HKLMSystem !!!!
Et cela quelque soit l'OS (j'ai vérifié : NT4, W2K, XP, Vista, W2K3, et sur
plusieurs machines ).

Donc soit tes utilisateurs font partie des admins, soit la LCA de
HKLMSystem... a été modifiée volontairement !
Dans les 2 cas c'est ANORMAL et DANGEREUX ...

Peux-tu nous faire une capture d'écran des autorisations de cette clef ?
Comme ceci :
http://cjoint.com/?khrja5akEG

Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.



Pour avoir de l'aide, dans une fenêtre de commandes :
REGINI /?
et aussi
REG /?

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Richard_35
Le #17448791
Voici :

http://cjoint.com/?khrFqaFBFM

Merci d'avance,
Richard.

"Jean-Claude BELLAMY" a écrit :

"Richard_35" de news:
> Bonjour Jean-Claude, Herser et "moi",
>
> J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
> inversement). Ce script fonctionne très bien.
> Seulement, si les utilisateurs ont accès à la modification de cette clé de
> la base de registre, alors mon script ne sert à rien...
Évidemment, mais normalement, les utilisateurs lambdas n'ont pas accès en
écriture à cette clef ...

> Donc, je répond à une de tes remarques : les utilisateurs
> non-administrateurs ont bien accès à la modification de cette valeur de la
> registry (j'ai fait le test).

C'est ABSOLUMENT A-NOR-MAL !!!!!
Un utilisateur "lambda" n'a que des droits en lecture sur HKLMSystem !!!!
Et cela quelque soit l'OS (j'ai vérifié : NT4, W2K, XP, Vista, W2K3, et sur
plusieurs machines ).

Donc soit tes utilisateurs font partie des admins, soit la LCA de
HKLMSystem... a été modifiée volontairement !
Dans les 2 cas c'est ANORMAL et DANGEREUX ...

Peux-tu nous faire une capture d'écran des autorisations de cette clef ?
Comme ceci :
http://cjoint.com/?khrja5akEG

> Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
> gestion des stratégies. Donc, "regini.exe" me paraît intéressant.

Pour avoir de l'aide, dans une fenêtre de commandes :
REGINI /?
et aussi
REG /?

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org




moi
Le #17448971
Richard_35 wrote:
Voici :

http://cjoint.com/?khrFqaFBFM



Rien de nouveau sur cette image ...
Les admin ont, bien sûr, le contrôle total.

C'est surtout les ACL des groupes "Utilisateurs"
et "Utilisateurs avec pouvoir"
qui comptent ici ...

HB
Publicité
Poster une réponse
Anonyme