Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Interdiction base de registre par script .bat

24 réponses
Avatar
Richard_35
Bonjour à tous,

Est-il possible d'interdire l'accès à la base de registre par un script de
logon ".bat" (si possible, pas ".vbs") ?

Merci d'avance de vos réponses,
Richard.

10 réponses

1 2 3
Avatar
Jean-Claude BELLAMY
"Richard_35" a écrit dans le message
de news:
Bonjour à tous,

Est-il possible d'interdire l'accès à la base de registre par un script de
logon ".bat" (si possible, pas ".vbs") ?




???????????????
TOUTES les clefs de la BDR possèdent leur propre LCA (Liste de contrôle
d'accès)

Par exemple (et par défaut) :
HKCU :
contrôle total à l'utilisateur courant
contrôle total aux administrateurs
HKLM :
accès en lecture à tout le monde
contrôle total aux administrateurs
(Certaines sous-clefs peuvent avoir un accès plus restreint)


Que veux-tu interdire ? A qui ? Pourquoi ? Quelle interdiction ?
Pourquoi un script en bat et non pas en VBS ?


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Avatar
Richard_35
Bonjour Jean-Claude,

Merci de ta réponse.

Oui, je sais que toutes les clefs de la BDR possèdent leur propre LCA, mais,
justement, existe-t-il un moyen d'intervenir sur ces LCA via un script ?

Pour répondre à tes questions :
- travaillant dans un secteur sensible et, à la demande de mon patron, j'ai
interdit aux users l'utilisation des périphériques de masse USB (clé,
disque). Pour info, si
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR"Start"=3, c'est
autorisé, si "Start"=4, c'est refusé.
- en ".bat", car je maîtrise mieux le langage "DOS" que le VB Script : en
cas de modification, je pourrais m'en charger.

Merci de tes conseils,
Richard.


"Jean-Claude BELLAMY" a écrit :

"Richard_35" a écrit dans le message
de news:
> Bonjour à tous,
>
> Est-il possible d'interdire l'accès à la base de registre par un script de
> logon ".bat" (si possible, pas ".vbs") ?


???????????????
TOUTES les clefs de la BDR possèdent leur propre LCA (Liste de contrôle
d'accès)

Par exemple (et par défaut) :
HKCU :
contrôle total à l'utilisateur courant
contrôle total aux administrateurs
HKLM :
accès en lecture à tout le monde
contrôle total aux administrateurs
(Certaines sous-clefs peuvent avoir un accès plus restreint)


Que veux-tu interdire ? A qui ? Pourquoi ? Quelle interdiction ?
Pourquoi un script en bat et non pas en VBS ?


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org




Avatar
Jean-Claude BELLAMY
"Richard_35" a écrit dans le message
de news:
[...]
Oui, je sais que toutes les clefs de la BDR possèdent leur propre LCA,
mais,
justement, existe-t-il un moyen d'intervenir sur ces LCA via un script ?

Pour répondre à tes questions :
- travaillant dans un secteur sensible et, à la demande de mon patron,
j'ai
interdit aux users l'utilisation des périphériques de masse USB (clé,
disque). Pour info, si
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR"Start"=3,
c'est
autorisé, si "Start"=4, c'est refusé.



Mais pourquoi alors vouloir modifier la LCA ?
Vu que la branche HKLMSytem est accessible seulement en LECTURE aux
non-administrateurs !!!!
A moins que tu aies mis tous tes "clients" dans le groupe des admins, mais
là, je (ni personne d'autre d'ailleurs) ne pourrais t'être d'aucun secours !
;-)


- en ".bat", car je maîtrise mieux le langage "DOS" que le VB Script : en
cas de modification, je pourrais m'en charger.



Ce qu'il te faut, si j'ai bien compris car ce n'est pas très clair (!),
c'est un batch/raccourci/ qui mette cette valeur à 3 ou 4 suivant l'humeur,
et qui sera exclusivement exécuté par toi ou un autre administrateur.

Si c'est cela, c 'est très simple, avec ce batch p.ex. :
Fichier "usbstor.cmd"
------------- couper ici -------------
@echo off
for %%R in (yes no) do if /i %1.==%%R. goto %%R
echo Syntaxe :
echo usbstor yes^|no
goto fin
:yes
set value=3
goto suite
:no
set value=4
:suite
REG ADD HKLMSystemCurrentControlSetServicesUSBSTOR /v Start /t
REG_DWORD /d %value% /F
:fin
------------- couper ici -------------


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Avatar
moi
Bonjour,


============================ >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
LCA, mais, (...)
- travaillant dans un secteur sensible et, à la demande de mon
patron, (...)




============================
... Et ton "secteur sensible" c'est un réseau ?
avec un serveur controleur de domaine ?
avec des OU , des stratégies ?

Parce que ... pour faire ce type de manip,
l'utilisation des stratégies (machine et/ou utilisateurs)
est quand même nettement plus pratique...
C'est prévu pour !
d'autant que les ACL (or LCA ... as you want)
sur les branches de la BdR
peuvent aussi être modifiées ainsi .

Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
ces choses là de façon plus "rustique"
( je n'ai pas dit "agricole" ;o) ) .

Ainsi et pour me résumer,
la question initiale et le contexte restent à préciser....

HB
Avatar
Herser
Jean-Claude BELLAMY wrote:
"Jean-Claude BELLAMY" a écrit dans le
message de news:
[...]
Si c'est cela, c 'est très simple, avec ce batch p.ex. :
Fichier "usbstor.cmd"
------------- couper ici -------------
@echo off
for %%R in (yes no) do if /i %1.==%%R. goto %%R
echo Syntaxe :
echo usbstor yes^|no
goto fin
yes


set value=3
goto suite
no


set value=4
suite


REG ADD HKLMSystemCurrentControlSetServicesUSBSTOR /v Start /t
REG_DWORD /d %value% /F
fin


------------- couper ici -------------




Je me rends compte que mon lecteur de news (WLM) a coupé en 2
l'avant-dernière ligne de mon batch.
Donc la commande :
"REG ADD HKLM ... %value% /F"
doit être écrite sur une SEULE ligne !

NB: j'ai mis le batch en pièce-jointe, en souhaitant qu'il passe !



Bonjour
Ca passe chez moi, sous OE6, "Sécurité" réglé en "Zone Internet" et IE7
réglé par défaut.
Herser
Avatar
Richard_35
Bonjour Jean-Claude, Herser et "moi",

J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...

Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).

Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.

Je vous tiens au courant.
Merci encrore,
Richard.

"moi" a écrit :

Bonjour,


============================ > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
>> LCA, mais, (...)
>> - travaillant dans un secteur sensible et, à la demande de mon
>> patron, (...)
============================ >
.... Et ton "secteur sensible" c'est un réseau ?
avec un serveur controleur de domaine ?
avec des OU , des stratégies ?

Parce que ... pour faire ce type de manip,
l'utilisation des stratégies (machine et/ou utilisateurs)
est quand même nettement plus pratique...
C'est prévu pour !
d'autant que les ACL (or LCA ... as you want)
sur les branches de la BdR
peuvent aussi être modifiées ainsi .

Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
ces choses là de façon plus "rustique"
( je n'ai pas dit "agricole" ;o) ) .

Ainsi et pour me résumer,
la question initiale et le contexte restent à préciser....

HB




Avatar
Richard_35
Par contre, si vous avez, "tout prêt", ce qu'il faut faire, exactement, pour
interdire la modification de cette clé par les stratégies de groupe et par
regini.exe, cela m'arrangerait... par manque de temps...

Merci d'avance,
Richard.

"Richard_35" a écrit :

Bonjour Jean-Claude, Herser et "moi",

J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...

Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).

Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.

Je vous tiens au courant.
Merci encrore,
Richard.

"moi" a écrit :

> Bonjour,
>
>
> ============================ > > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
> >> LCA, mais, (...)
> >> - travaillant dans un secteur sensible et, à la demande de mon
> >> patron, (...)
> ============================ > >
> .... Et ton "secteur sensible" c'est un réseau ?
> avec un serveur controleur de domaine ?
> avec des OU , des stratégies ?
>
> Parce que ... pour faire ce type de manip,
> l'utilisation des stratégies (machine et/ou utilisateurs)
> est quand même nettement plus pratique...
> C'est prévu pour !
> d'autant que les ACL (or LCA ... as you want)
> sur les branches de la BdR
> peuvent aussi être modifiées ainsi .
>
> Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
> ces choses là de façon plus "rustique"
> ( je n'ai pas dit "agricole" ;o) ) .
>
> Ainsi et pour me résumer,
> la question initiale et le contexte restent à préciser....
>
> HB
>
>


Avatar
Jean-Claude BELLAMY
"Richard_35" a écrit dans le message
de news:
Bonjour Jean-Claude, Herser et "moi",

J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...


Évidemment, mais normalement, les utilisateurs lambdas n'ont pas accès en
écriture à cette clef ...

Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).



C'est ABSOLUMENT A-NOR-MAL !!!!!
Un utilisateur "lambda" n'a que des droits en lecture sur HKLMSystem !!!!
Et cela quelque soit l'OS (j'ai vérifié : NT4, W2K, XP, Vista, W2K3, et sur
plusieurs machines ).

Donc soit tes utilisateurs font partie des admins, soit la LCA de
HKLMSystem... a été modifiée volontairement !
Dans les 2 cas c'est ANORMAL et DANGEREUX ...

Peux-tu nous faire une capture d'écran des autorisations de cette clef ?
Comme ceci :
http://cjoint.com/?khrja5akEG

Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.



Pour avoir de l'aide, dans une fenêtre de commandes :
REGINI /?
et aussi
REG /?

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Avatar
Richard_35
Voici :

http://cjoint.com/?khrFqaFBFM

Merci d'avance,
Richard.

"Jean-Claude BELLAMY" a écrit :

"Richard_35" a écrit dans le message
de news:
> Bonjour Jean-Claude, Herser et "moi",
>
> J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
> inversement). Ce script fonctionne très bien.
> Seulement, si les utilisateurs ont accès à la modification de cette clé de
> la base de registre, alors mon script ne sert à rien...
Évidemment, mais normalement, les utilisateurs lambdas n'ont pas accès en
écriture à cette clef ...

> Donc, je répond à une de tes remarques : les utilisateurs
> non-administrateurs ont bien accès à la modification de cette valeur de la
> registry (j'ai fait le test).

C'est ABSOLUMENT A-NOR-MAL !!!!!
Un utilisateur "lambda" n'a que des droits en lecture sur HKLMSystem !!!!
Et cela quelque soit l'OS (j'ai vérifié : NT4, W2K, XP, Vista, W2K3, et sur
plusieurs machines ).

Donc soit tes utilisateurs font partie des admins, soit la LCA de
HKLMSystem... a été modifiée volontairement !
Dans les 2 cas c'est ANORMAL et DANGEREUX ...

Peux-tu nous faire une capture d'écran des autorisations de cette clef ?
Comme ceci :
http://cjoint.com/?khrja5akEG

> Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
> gestion des stratégies. Donc, "regini.exe" me paraît intéressant.

Pour avoir de l'aide, dans une fenêtre de commandes :
REGINI /?
et aussi
REG /?

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org




Avatar
moi
Richard_35 wrote:
Voici :

http://cjoint.com/?khrFqaFBFM



Rien de nouveau sur cette image ...
Les admin ont, bien sûr, le contrôle total.

C'est surtout les ACL des groupes "Utilisateurs"
et "Utilisateurs avec pouvoir"
qui comptent ici ...

HB
1 2 3