Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

.DEFAULT et S-1-5-18 de HKEY_USERS - alias ou non

2 réponses
Avatar
Daniel92
Bonsoir,

Est-ce que HKU\.DEFAULT ne serait pas un Alias
de HKU\S-1-5-18 ? ou l'inverse?

(ruche:
%SystemRoot%\system32\config\default )

En faisant des essais sur
HKEY_USERS\.DEFAULT\Control Panel\Desktop
HKEY_USERS\.DEFAULT\Control Panel\Keyboard
j'ai constaté qu'une modif , faite dans ces
deux sous-clefs , se retrouvait dans la sous-clef
correspondante de HKEY_USERS\S-1-5-18\

d'où mon questionnement .

Merci par avance, pour ceux ou celles que
le sujet intéresse.

--
Daniel92.
======

2 réponses

Avatar
Jean-Claude BELLAMY
"Daniel92" a écrit dans le message de
news:%

Bonsoir,

Est-ce que HKU.DEFAULT ne serait pas un Alias
de HKUS-1-5-18 ?
OUI

Pour info, "S-1-5-18" est le SID du compte "SYSTEM"

ou l'inverse?
NON, "HKU.DEFAULT" est un compte fictif.

(alias mnémotechnique)

Les données de HKU.DEFAULT sont utilisées quand aucune session n'est
ouverte.
P.ex. c'est
HKU.DEFAULTControl PanelDesktopSCRNSAVE.EXE

qu'il faut modifier pour changer l'écran de veille qui s'affiche quand
aucune session n'est active.

NB : à ne pas confondre avec le compte "Default" (ruche
"....defaultNTUSER.DAT") , qui sert de "modèle" aux nouveaux comptes.


Pour info et rappel, les "Well-know SID " sont :

S-1-1-0 : tout le monde
S-1-2-0 : local
S-1-3-0 : créateur propriétaire
S-1-3-1 : groupe créateur
S-1-3-2 : CREATOR OWNER SERVER
S-1-3-3 : CREATOR GROUP SERVER
S-1-3-4 : DROITS DU PROPRIÉTAIRE
S-1-5-1 : LIGNE
S-1-5-2 : RESEAU
S-1-5-3 : TACHE
S-1-5-4 : INTERACTIF
S-1-5-6 : SERVICE
S-1-5-7 : ANONYMOUS LOGON
S-1-5-8 : Proxy
S-1-5-9 : ENTERPRISE DOMAIN CONTROLLERS
S-1-5-10 : SELF
S-1-5-11 : Utilisateurs authentifiés
S-1-5-12 : RESTRICTED
S-1-5-13 : UTILISATEUR TERMINAL SERVER
S-1-5-14 : REMOTE INTERACTIVE LOGON
S-1-5-17 : IUSR
S-1-5-18 : SYSTEM
S-1-5-19 : SERVICE LOCAL
S-1-5-20 : SERVICE RÉSEAU
S-1-5-32 : BUILTIN

S-1-5-32-544 : Administrateurs
S-1-5-32-568 : IIS_IUSRS
S-1-5-32-546 : Invités
S-1-5-32-573 : Lecteurs des journaux d'événements
S-1-5-32-545 : Utilisateurs
S-1-5-32-558 : Utilisateurs de l'Analyseur de performances
S-1-5-32-559 : Utilisateurs du journal de performances
S-1-5-32-562 : Utilisateurs du modèle COM distribué



(ruche:
%SystemRoot%system32configdefault )
En faisant des essais sur
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelKeyboard
j'ai constaté qu'une modif , faite dans ces
deux sous-clefs , se retrouvait dans la sous-clef
correspondante de HKEY_USERSS-1-5-18


Tu as BIEN constaté !!!

D'ailleurs, il suffit d'exporter (dans deux fichiers xxxx.reg p.ex.) les
branches HKEY_USERS.DEFAULT et HKEY_USERSS-1-5-18 pour se rendre compte
que les 2 fichiers obtenus sont ABSOLUMENT IDENTIQUES (en ayant remplacé au
préalable toutes les occurences de ".DEFAULT" par "S-1-5-18" dans le fichier
export de .DEFAULT)


D'ailleurs, tu peux t'amuser à une expérience amusante (en tout cas, elle
m'a bien amusé!!!)
Ouvre la clef HKEY_USERS.DEFAULTControl PanelDesktop
et modifie les entrées suivantes :
SCRNSAVE.EXE
-> nouvelle valeur : CMD.EXE
ScreenSaveTimeOut
-> nouvelle valeur : 10

Cela va définir le processeur de commandes comme économiseur d'écran quand
il n'y a pas de session ouverte au bout de 10 secondes.

Une fois que c'est fait, tu fermes la session en cours.
Dès qu'elle est fermée, tu ne touches à rien et attends (10 secondes)
Une fenêtre console s'ouvre alors !
(c'est l'écran de veille, eh oui !)

Tu exécutes alors la commande "explorer"

Cela ouvre une session, sous le compte .... SYSTEM !!!!!!!!
La preuve : (fait à l'instant sous XP HOME SP2)
http://cjoint.com/?dvqHLWqjOh

et cela est bien confirmé par le contenu de la variable d'environnement
%USERNAME% :
http://cjoint.com/?dvqIHuW4vl
Par contre, on remarque que le profil utilisateur retenu est celui de
l'utilisateur précédent (puisqu'il n'existe pas de compte "SYSTEM" dans
"documents and settings")

L'intérêt de cela ?
A part le fun, AUCUN!
Sauf si on a besoin de faire des choses absolument inavouables, que seules
le compte SYSTEM peut faire.
Et ne pas oublier que si le compte SYSTEM peut TOUT faire en LOCAL, par
contre il n'a accès à AUCUNE ressource réseau!


PS: si, cela a quand même un intérêt, sous Windows 2000 Serveur, quand on a
perdu le password de l'administrateur de DOMAINE !
http://www.bellamyjc.org/fr/pwdnt.html#2000" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.bellamyjc.org/fr/pwdnt.html#2000


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Avatar
Daniel92
Bonsoir Jean-Claude , *Jean-Claude BELLAMY* écrit dans
<news:
|
| *Daniel92* avait demandé dans
| <news:%
| >
| > Bonsoir,
| >
| > Est-ce que HKU.DEFAULT ne serait pas un Alias
| > de HKUS-1-5-18 ?
|
| OUI
|
| Pour info, "S-1-5-18" est le SID du compte "SYSTEM"
|
| > ou l'inverse?
| NON,

:-)

| "HKU.DEFAULT" est un compte fictif.
| (alias mnémotechnique)
|
| Les données de HKU.DEFAULT sont utilisées quand
| aucune session n'est ouverte.
| P.ex. c'est
| HKU.DEFAULTControl PanelDesktopSCRNSAVE.EXE
|
| qu'il faut modifier pour changer l'écran de veille qui s'affiche
| quand aucune session n'est active.
|
| NB : à ne pas confondre avec le compte "Default"
| (ruche "....defaultNTUSER.DAT") , qui sert de "modèle"
| aux nouveaux comptes.
|
|
| Pour info et rappel, les "Well-know SID " sont :
| [...]
| S-1-5-12 : RESTRICTED
| [...]

Tu as trouvé qui c'était ?


| > (ruche:
| > %SystemRoot%system32configdefault )
| > En faisant des essais sur
| > HKEY_USERS.DEFAULTControl PanelDesktop
| > HKEY_USERS.DEFAULTControl PanelKeyboard
| > j'ai constaté qu'une modif , faite dans ces
| > deux sous-clefs , se retrouvait dans la sous-clef
| > correspondante de HKEY_USERSS-1-5-18
|
| Tu as BIEN constaté !!!
|
| D'ailleurs, il suffit d'exporter (dans deux fichiers xxxx.reg
| p.ex.) les branches HKEY_USERS.DEFAULT et
| HKEY_USERSS-1-5-18 pour se rendre compte que
| les 2 fichiers obtenus sont ABSOLUMENT IDENTIQUES
| (en ayant remplacé au préalable toutes les occurences de
| ".DEFAULT" par "S-1-5-18" dans le fichier export
| de .DEFAULT)

Il va falloir que j'apprenne à comparer les contenus de
fichiers :(


| D'ailleurs, tu peux t'amuser à une expérience amusante
| (en tout cas, elle m'a bien amusé!!!)
| Ouvre la clef HKEY_USERS.DEFAULTControl PanelDesktop
| et modifie les entrées suivantes :
| SCRNSAVE.EXE
| -> nouvelle valeur : CMD.EXE
| ScreenSaveTimeOut
| -> nouvelle valeur : 10
|
| Cela va définir le processeur de commandes comme économiseur
| d'écran quand il n'y a pas de session ouverte au bout de 10 secondes.
|
| Une fois que c'est fait, tu fermes la session en cours.
| Dès qu'elle est fermée, tu ne touches à rien et attends (10 secondes)
| Une fenêtre console s'ouvre alors !
| (c'est l'écran de veille, eh oui !)
|
| Tu exécutes alors la commande "explorer"
|
| Cela ouvre une session, sous le compte .... SYSTEM !!!!!!!!
| La preuve : (fait à l'instant sous XP HOME SP2)
| http://cjoint.com/?dvqHLWqjOh
| en plus durable (je me permisse :)
| http://apu.mabul.org/up/apu/2008/03/21/img-230822cgf8c.jpg


Voui, Jean-Claude, :) et c'est en faisant cet essai que
j'ai constaté l'identique des valeurs des sous-clefs ;

mais timoré , en mode sans échec, à partir de mon
Windows XP Home de Secours, avec :
ScreenSaveTimeOut = 60


Seule ma Souris est réglée pour autoriser la sortie de veille;
... et je retourne effectivement à l'écran d'accueil si je touche
à ma Souris aprés un temps d'inactivité sur l'Invite de cmd;

Je ne maîtrise pas encore très bien cette partie.

Est-ce que tu as fait l'essai avec le Clavier autorisant la
sortie de veille?


À noter qu'en mode normal , l'OS m'a remplacé d'autorité,
après un temps assez long d'inoccupation
le contenu de la valeur de SCRNSAVE.EXE par
G:WINDOWSsystem32logon.scr
Une sorte de WFP - SFC pour les clefs du Registre (?)


| et cela est bien confirmé par le contenu de la variable d'environnement
| %USERNAME% :
| http://cjoint.com/?dvqIHuW4vl
| en plus durable ( http://mabul.org/ ) :
| http://apu.mabul.org/up/apu/2008/03/21/img-2319584ijsz.jpg
| Par contre, on remarque que le profil utilisateur retenu est celui de
| l'utilisateur précédent (puisqu'il n'existe pas de compte "SYSTEM"
| dans "documents and settings")

Ah! , je me demandais justement pourquoi je retrouvais le
Compte "Administrateur" (essai en mode sans échec) dans
les variables << set u >> ; j'ai maintenant une explication :)

C'est probablement une des valeurs
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
AltDefaultUserName ou DefaultUserName
qui doit lui servir de référence.


Ceci dit, ce profil "SYSTEM" existe dans
%systemroot%system32configsystemprofile
il est même répertorié dans
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionProfileListS-1-5-18

c'est la seule ruche, chez moi, à avoir une sous-clefs
HKEY_USERSs0psysControl PanelKeyboard
avec InitialKeyboardIndicators à 0
( la bévu du lancement de la CDR (?) )
=> la branche "s0psys" est le chargement de sa ruche
"ntuser.dat" dans HKU

Seulement, c'est %SystemRoot%system32configdefault
qui sert de ruche à HKEY_USERS.DEFAULT et
HKEY_USERSS-1-5-18 . (?)



| L'intérêt de cela ?
| A part le fun, AUCUN!

PAS SÛR! , Ce peut être une solution pour DÉPANNER
les blocages d'entrée en Session faits par un Malware dans
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Regedit fonctionne, mais je n'ai pas encore fait de modifs
dans le Registre.



| Sauf si on a besoin de faire des choses absolument inavouables,
| que seules le compte SYSTEM peut faire.
| Et ne pas oublier que si le compte SYSTEM peut TOUT faire
| en LOCAL, par contre il n'a accès à AUCUNE ressource réseau!

Ça, c'est pour plus tard :)


| PS: si, cela a quand même un intérêt, sous Windows 2000 Serveur,
| quand on a perdu le password de l'administrateur de DOMAINE !
| http://www.bellamyjc.org/fr/pwdnt.html#2000

C'est parce que j'ai vu ta page hier , ... que je me suis autorisé
(auto-censure quand tu nous tiens!) à écrire mon message.

J'avais découvert cette entrée, il y a déjà quelques temps,
sous une autre forme, sur le site des administrateurs de
réseau ... ou via le blogs de Mark Russinovich :
Je ne retrouve plus la référence dans mon foutoir.

Merci, et si tu as le temps ....
--
Daniel92.
======