politique de restriction des applications(Software Restriction Pol

Le
Maverick31
Bonjour,
je suis actuellement en licence professionnelle d'informatique et je cherche
à savoir comment fonctionnent (en détail) sous Windows XP et Vista les
politiques de restriction des applications.

J'ai vu avec quelques recherches que sous Windows XP, il existe un logiciel
(Dropmyrights) qui à l'air en fait de modifier le SID (Security Identifier)
de l'administrateur et de lui restreindre ses droits lorsqu'il lancerait
l'application qu'il a sélectionnée.
Je voudrais savoir plus en détail comment celà fonctionne sous Windows XP.

Sous Windows Vista, cela a l'air d'être un peu le contraire, nous avons un
administrateur qui en fait va se voir attribuer certains droits d'accès à la
demande, on lui donne donc des privilèges, mais comment est-ce que ça
fonctionne? Modification de SIDS avec une analyse du jeton de processus? Je
ne sais pas

Si quelqu'un peut me renseigner sur ces deux points. Je lui en serai très
reconnaissant.

Je vous remercie pour votre réponse.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Serge
Le #178541
"Maverick31" message de news:
Bonjour,
je suis actuellement en licence professionnelle d'informatique et je
cherche
à savoir comment fonctionnent (en détail) sous Windows XP et Vista les
politiques de restriction des applications.


Bonjour,

Un seul post (et non pas 3 sur le groupe XP) et surtout un suivi vers un
seul groupe pour les réponses aurait peut être été mieux, ne croyez vous
pas ?

Ne serait-ce que pour éviter la dispersion des réponses !

Là cela s'apparente à du SPAM, de la pollution, 3 messages dans 4
groupes sans suivi, cela fait 12 messages !!!!
Sur la hiérarchie Usenet.fr Vous seriez passible d'annulation de ces
messages !

Serge

Maverick31
Le #178539
Je n'ai pas vu au départ que j'avais déjà posté comme ça après quand j'ai vu
mon erreur, je n'ai pas trouvé comment supprimer les messages (sinon je
l'aurai fait.) C'est la première fois que je me sers des newsgroup comme ça.
Cela n'a pas été fait de manière intentionnelle.. C'est juste que j'ai
vraiment été un boulet sur le coup... J'en suis désolé, si il y a un moyen de
rectifier, je serai ravi de le faire, sinon si des
administrateurs/modérateurs peuvent le faire il n'y a pas de problèmes.

Encore une fois, je suis désolé...

Bonjour,

Un seul post (et non pas 3 sur le groupe XP) et surtout un suivi vers un
seul groupe pour les réponses aurait peut être été mieux, ne croyez vous
pas ?

Ne serait-ce que pour éviter la dispersion des réponses !

Là cela s'apparente à du SPAM, de la pollution, 3 messages dans 4
groupes sans suivi, cela fait 12 messages !!!!
Sur la hiérarchie Usenet.fr Vous seriez passible d'annulation de ces
messages !

Serge




Morpheus Nebuchadnezzar
Le #1150570
"Maverick31" news:
Je n'ai pas vu au départ que j'avais déjà posté comme ça après quand j'ai
vu
mon erreur, je n'ai pas trouvé comment supprimer les messages (sinon je
l'aurai fait.) C'est la première fois que je me sers des newsgroup comme
ça.
Cela n'a pas été fait de manière intentionnelle.. C'est juste que j'ai
vraiment été un boulet sur le coup... J'en suis désolé, si il y a un moyen
de
rectifier, je serai ravi de le faire, sinon si des
administrateurs/modérateurs peuvent le faire il n'y a pas de problèmes.

Encore une fois, je suis désolé...

Bonjour !


Ceci étant, votre question me semble fort intéressante !

J'ose espérer que cette maladresse involontaire n'empêchera pas qu'on vous y
réponde ici - disons que cela m'intéresse aussi... :-)

Cordialement,

Morpheus

Oursin Agile
Le #1150437
Bonjour,
je suis actuellement en licence professionnelle d'informatique et je cherche
à savoir comment fonctionnent (en détail) sous Windows XP et Vista les
politiques de restriction des applications.

J'ai vu avec quelques recherches que sous Windows XP, il existe un logiciel
(Dropmyrights) qui à l'air en fait de modifier le SID (Security Identifier)
de l'administrateur et de lui restreindre ses droits lorsqu'il lancerait
l'application qu'il a sélectionnée.
Je voudrais savoir plus en détail comment celà fonctionne sous Windows XP.


Slt,
Pour DMR: http://assiste.com.free.fr/p/logitheque/dropmyrights.html
@+

Jean-Claude BELLAMY
Le #178414
"Maverick31" de news:
Bonjour,
je suis actuellement en licence professionnelle d'informatique et je
cherche
à savoir comment fonctionnent (en détail) sous Windows XP et Vista les
politiques de restriction des applications.

J'ai vu avec quelques recherches que sous Windows XP, il existe un
logiciel
(Dropmyrights) qui à l'air en fait de modifier le SID (Security
Identifier)
NON!

Le SID n'est JAMAIS modifié !
La seule façon de changer de SID, c'est de ... réouvrir une session sous un
autre compte !
Je fais bien sûr abstraction de l'outil de Mark RUSSINOVICH "NewSID" qui a
pour but de remplacer la racine de tous les SID d'une machine dans le cas
d'un clonage p.ex.

de l'administrateur et de lui restreindre ses droits lorsqu'il lancerait
l'application qu'il a sélectionnée.
Je voudrais savoir plus en détail comment celà fonctionne sous Windows XP.


Il y a abaissement des "privilèges", c'est tout !
Avec utilisation des fonctions "OpenProcessToken","AdjustTokenPrivileges", "
LookupAccountSid",... (de la dll "ADVAPI.DLL")

Sous Windows Vista, cela a l'air d'être un peu le contraire, nous avons un
administrateur qui en fait va se voir attribuer certains droits d'accès à
la
demande, on lui donne donc des privilèges, mais comment est-ce que ça
fonctionne?


Sous XP et avant, par défaut un compte administrateur a tous les privilèges
ou presque
(il faut éventuellement lui attribuer "SeBackupPrivilege",
"SeRestorePrivilege", "SeTcbPrivilege","SeDebugPrivilege")

Sous VISTA, hormis le compte Administrateur (SID se terminant par 500), tous
les autres comptes ont moins de privilèges.
(mais peuvent se les attribuer)

A l'aide d'un outil que je viens de compiler ("GetPriv.exe"
http://cjoint.com/?mpr71UGaN8) j'ai comparé les privilèges que j'ai sous XP
et sous VISTA (avec le même compte appartenant aux admins)

(j'ai listé ci-dessous uniquement les différences)

LUID 6 SeMachineAccountPrivilege
Désactivé sous XP
Absent sous VISTA
LUID 7 SeTcbPrivilege
Désactivé sous XP
Absent sous VISTA
LUID 10 SeLoadDriverPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 17 SeBackupPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 18 SeRestorePrivilege
Activé sous XP
Désactivé sous VISTA
LUID 25 SeUndockPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 33 SeIncreaseWorkingSetPrivilege
Absent sous XP
Désactivé sous VISTA
LUID 34 SeTimeZonePrivilege
Absent sous XP
Désactivé sous VISTA
LUID 35 SeCreateSymbolicLinkPrivilege
Absent sous XP
Désactivé sous VISTA


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

JF
Le #178411
("GetPriv.exe" http://cjoint.com/?mpr71UGaN8)


Problème (sous XP) en lançant GetPriv.exe :
"Cette application n'a pas pu démarrer car rtl100.bpl est introuvable.
La réinstallation de cette application peut corriger ce problème."

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les vecteurs d'infection www.libellules.ch/dangers_logiciels.php

Jean-Claude BELLAMY
Le #1150296
"JF" a écrit dans le message de
news:eI%
("GetPriv.exe" http://cjoint.com/?mpr71UGaN8)


Problème (sous XP) en lançant GetPriv.exe :
"Cette application n'a pas pu démarrer car rtl100.bpl est introuvable. La
réinstallation de cette application peut corriger ce problème."



Ah merdum !!!
J'ai oublié qu'à partir de Delphi 2006, afin d'alléger la taille des exe,
Borland a mis toutes les fonctions basiques sur une DLL qui s'appelle
RTL100.BPL et qu'on doit placer soir dans le dossier de l'appli, soit dans
"%systemroot%system32"

Désolé pour ce contretemps ...
http://www.bellamyjc.org/download/rtl100.bpl (824 ko)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org


Maverick31
Le #178377
Re-bonjour/bonsoir
Je vous remercie pour votre réponse. Mais une réponse peuvant amener à une
autre question, je vais employer la facilité et vous poser une autre
question, si vous me permettez d'abuser de votre gentillesse et de votre
temps ^_^.

Déjà, serait-il possible de savoir comment fonctionne votre logiciel et
pourrais-je l'utiliser pour mon dossier?
Ensuite, Y-a-t-il un moyen de savoir à quoi correspondent chaque fonctions
pour que je puisse affiner mes recherches. (Dans tous les cas, je vais faire
des recherches dessus ^_^, ma question est un peu bête).

Je vous remercie dans tous les cas pour l'aide que vous venez de m'apporter.



"Maverick31" de news:
Bonjour,
je suis actuellement en licence professionnelle d'informatique et je
cherche
à savoir comment fonctionnent (en détail) sous Windows XP et Vista les
politiques de restriction des applications.

J'ai vu avec quelques recherches que sous Windows XP, il existe un
logiciel
(Dropmyrights) qui à l'air en fait de modifier le SID (Security
Identifier)
NON!

Le SID n'est JAMAIS modifié !
La seule façon de changer de SID, c'est de ... réouvrir une session sous un
autre compte !
Je fais bien sûr abstraction de l'outil de Mark RUSSINOVICH "NewSID" qui a
pour but de remplacer la racine de tous les SID d'une machine dans le cas
d'un clonage p.ex.

de l'administrateur et de lui restreindre ses droits lorsqu'il lancerait
l'application qu'il a sélectionnée.
Je voudrais savoir plus en détail comment celà fonctionne sous Windows XP.


Il y a abaissement des "privilèges", c'est tout !
Avec utilisation des fonctions "OpenProcessToken","AdjustTokenPrivileges", "
LookupAccountSid",... (de la dll "ADVAPI.DLL")

Sous Windows Vista, cela a l'air d'être un peu le contraire, nous avons un
administrateur qui en fait va se voir attribuer certains droits d'accès à
la
demande, on lui donne donc des privilèges, mais comment est-ce que ça
fonctionne?


Sous XP et avant, par défaut un compte administrateur a tous les privilèges
ou presque
(il faut éventuellement lui attribuer "SeBackupPrivilege",
"SeRestorePrivilege", "SeTcbPrivilege","SeDebugPrivilege")

Sous VISTA, hormis le compte Administrateur (SID se terminant par 500), tous
les autres comptes ont moins de privilèges.
(mais peuvent se les attribuer)

A l'aide d'un outil que je viens de compiler ("GetPriv.exe"
http://cjoint.com/?mpr71UGaN8) j'ai comparé les privilèges que j'ai sous XP
et sous VISTA (avec le même compte appartenant aux admins)

(j'ai listé ci-dessous uniquement les différences)

LUID 6 SeMachineAccountPrivilege
Désactivé sous XP
Absent sous VISTA
LUID 7 SeTcbPrivilege
Désactivé sous XP
Absent sous VISTA
LUID 10 SeLoadDriverPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 17 SeBackupPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 18 SeRestorePrivilege
Activé sous XP
Désactivé sous VISTA
LUID 25 SeUndockPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 33 SeIncreaseWorkingSetPrivilege
Absent sous XP
Désactivé sous VISTA
LUID 34 SeTimeZonePrivilege
Absent sous XP
Désactivé sous VISTA
LUID 35 SeCreateSymbolicLinkPrivilege
Absent sous XP
Désactivé sous VISTA


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org




MCI (ex do ré Mi chel la si do) [MVP]
Le #178346
Bonsoir !

Je fais bien sûr abstraction de l'outil de Mark RUSSINOVICH "NewSID"
qui a pour but de remplacer la racine de tous les SID d'une machine
dans le cas d'un clonage p.ex.


Sans oublier Sysprep (installé nativement dans Vista), qui peut faire la
même chose, dans la même optique.

@-salutations

Michel Claveau

Jean-Claude BELLAMY
Le #179317
"Maverick31" de news:
Re-bonjour/bonsoir
Je vous remercie pour votre réponse. Mais une réponse peuvant amener à une
autre question, je vais employer la facilité et vous poser une autre
question, si vous me permettez d'abuser de votre gentillesse et de votre
temps ^_^.

Déjà, serait-il possible de savoir comment fonctionne votre logiciel et
pourrais-je l'utiliser pour mon dossier?


Question préalable :
Sais-tu programmer, et si oui en quel langage ?

Pour ma part, je l'ai écrit en Delphi 2006

L'énumératon des privilèges est le noyau de cette appli.
(la plupart des fonctions appelées ici font partie de "advapi32.dll")

Pour cela, la 1ère chose à faire est d'obtenir un "token" grâce à
"OpenProcessToken" sur le processus courant ("GetCurrentProcess")
http://msdn2.microsoft.com/en-us/library/ms683179.aspx
http://msdn2.microsoft.com/en-us/library/aa379295.aspx

Puis on va énumérer les privilèges a partir d'un appel de
"GetTokenInformation"
http://msdn2.microsoft.com/en-us/library/aa446671.aspx

J'affecte la valeur "TokenPrivileges" (=3) au paramètre
"TokenInformationClass"

je récupère les résulats dans une structure "TOKEN_PRIVILEGES"
http://msdn2.microsoft.com/en-us/library/aa379630.aspx

Par exemple la propriété "PrivilegeCount" contient le nombre de privilèges
du compte
Ensuite, pour avoir le nom de chaque privilège à partir de sa valeur
numérique (LUID), j'utilise "LookupPrivilegeName"
http://msdn2.microsoft.com/en-us/library/aa379176.aspx

et pour que çà soit plus explicite, j'appelle "LookupPrivilegeDisplayName"
qui donne la signifiaction de chaque privilège
(p.ex.
SeLoadDriverPrivilege = Charger et décharger les pilotes de
périphériques
SeSystemtimePrivilege = Modifier l'heure système
SeImpersonatePrivilege = Emprunter l'identité d'un client après
l'authentification
... )
http://msdn2.microsoft.com/en-us/library/aa379168.aspx

Ensuite, Y-a-t-il un moyen de savoir à quoi correspondent chaque fonctions
pour que je puisse affiner mes recherches.


MSDN !!!

(je viens de t'en donner des exemples)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Publicité
Poster une réponse
Anonyme