Bonjour à tous,
Est-il possible d'interdire l'accès à la base de registre par un script de
logon ".bat" (si possible, pas ".vbs") ?
Bonjour à tous,
Est-il possible d'interdire l'accès à la base de registre par un script de
logon ".bat" (si possible, pas ".vbs") ?
Bonjour à tous,
Est-il possible d'interdire l'accès à la base de registre par un script de
logon ".bat" (si possible, pas ".vbs") ?
"Richard_35" a écrit dans le message
de news:
> Bonjour à tous,
>
> Est-il possible d'interdire l'accès à la base de registre par un script de
> logon ".bat" (si possible, pas ".vbs") ?
???????????????
TOUTES les clefs de la BDR possèdent leur propre LCA (Liste de contrôle
d'accès)
Par exemple (et par défaut) :
HKCU :
contrôle total à l'utilisateur courant
contrôle total aux administrateurs
HKLM :
accès en lecture à tout le monde
contrôle total aux administrateurs
(Certaines sous-clefs peuvent avoir un accès plus restreint)
Que veux-tu interdire ? A qui ? Pourquoi ? Quelle interdiction ?
Pourquoi un script en bat et non pas en VBS ?
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
"Richard_35" <Richard35@discussions.microsoft.com> a écrit dans le message
de news:A96C9260-21FE-4B54-9A7C-83C5C8572EEE@microsoft.com...
> Bonjour à tous,
>
> Est-il possible d'interdire l'accès à la base de registre par un script de
> logon ".bat" (si possible, pas ".vbs") ?
???????????????
TOUTES les clefs de la BDR possèdent leur propre LCA (Liste de contrôle
d'accès)
Par exemple (et par défaut) :
HKCU :
contrôle total à l'utilisateur courant
contrôle total aux administrateurs
HKLM :
accès en lecture à tout le monde
contrôle total aux administrateurs
(Certaines sous-clefs peuvent avoir un accès plus restreint)
Que veux-tu interdire ? A qui ? Pourquoi ? Quelle interdiction ?
Pourquoi un script en bat et non pas en VBS ?
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
"Richard_35" a écrit dans le message
de news:
> Bonjour à tous,
>
> Est-il possible d'interdire l'accès à la base de registre par un script de
> logon ".bat" (si possible, pas ".vbs") ?
???????????????
TOUTES les clefs de la BDR possèdent leur propre LCA (Liste de contrôle
d'accès)
Par exemple (et par défaut) :
HKCU :
contrôle total à l'utilisateur courant
contrôle total aux administrateurs
HKLM :
accès en lecture à tout le monde
contrôle total aux administrateurs
(Certaines sous-clefs peuvent avoir un accès plus restreint)
Que veux-tu interdire ? A qui ? Pourquoi ? Quelle interdiction ?
Pourquoi un script en bat et non pas en VBS ?
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
[...]
Oui, je sais que toutes les clefs de la BDR possèdent leur propre LCA,
mais,
justement, existe-t-il un moyen d'intervenir sur ces LCA via un script ?
Pour répondre à tes questions :
- travaillant dans un secteur sensible et, à la demande de mon patron,
j'ai
interdit aux users l'utilisation des périphériques de masse USB (clé,
disque). Pour info, si
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR"Start"=3,
c'est
autorisé, si "Start"=4, c'est refusé.
- en ".bat", car je maîtrise mieux le langage "DOS" que le VB Script : en
cas de modification, je pourrais m'en charger.
[...]
Oui, je sais que toutes les clefs de la BDR possèdent leur propre LCA,
mais,
justement, existe-t-il un moyen d'intervenir sur ces LCA via un script ?
Pour répondre à tes questions :
- travaillant dans un secteur sensible et, à la demande de mon patron,
j'ai
interdit aux users l'utilisation des périphériques de masse USB (clé,
disque). Pour info, si
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR"Start"=3,
c'est
autorisé, si "Start"=4, c'est refusé.
- en ".bat", car je maîtrise mieux le langage "DOS" que le VB Script : en
cas de modification, je pourrais m'en charger.
[...]
Oui, je sais que toutes les clefs de la BDR possèdent leur propre LCA,
mais,
justement, existe-t-il un moyen d'intervenir sur ces LCA via un script ?
Pour répondre à tes questions :
- travaillant dans un secteur sensible et, à la demande de mon patron,
j'ai
interdit aux users l'utilisation des périphériques de masse USB (clé,
disque). Pour info, si
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR"Start"=3,
c'est
autorisé, si "Start"=4, c'est refusé.
- en ".bat", car je maîtrise mieux le langage "DOS" que le VB Script : en
cas de modification, je pourrais m'en charger.
LCA, mais, (...)
- travaillant dans un secteur sensible et, à la demande de mon
patron, (...)
LCA, mais, (...)
- travaillant dans un secteur sensible et, à la demande de mon
patron, (...)
LCA, mais, (...)
- travaillant dans un secteur sensible et, à la demande de mon
patron, (...)
"Jean-Claude BELLAMY" a écrit dans le
message de news:[...]
Si c'est cela, c 'est très simple, avec ce batch p.ex. :
Fichier "usbstor.cmd"
------------- couper ici -------------
@echo off
for %%R in (yes no) do if /i %1.==%%R. goto %%R
echo Syntaxe :
echo usbstor yes^|no
goto finyes
set value=3
goto suiteno
set value=4suite
REG ADD HKLMSystemCurrentControlSetServicesUSBSTOR /v Start /t
REG_DWORD /d %value% /Ffin
------------- couper ici -------------
Je me rends compte que mon lecteur de news (WLM) a coupé en 2
l'avant-dernière ligne de mon batch.
Donc la commande :
"REG ADD HKLM ... %value% /F"
doit être écrite sur une SEULE ligne !
NB: j'ai mis le batch en pièce-jointe, en souhaitant qu'il passe !
"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news:eeDIjiGKJHA.456@TK2MSFTNGP06.phx.gbl...
[...]
Si c'est cela, c 'est très simple, avec ce batch p.ex. :
Fichier "usbstor.cmd"
------------- couper ici -------------
@echo off
for %%R in (yes no) do if /i %1.==%%R. goto %%R
echo Syntaxe :
echo usbstor yes^|no
goto fin
yes
set value=3
goto suite
no
set value=4
suite
REG ADD HKLMSystemCurrentControlSetServicesUSBSTOR /v Start /t
REG_DWORD /d %value% /F
fin
------------- couper ici -------------
Je me rends compte que mon lecteur de news (WLM) a coupé en 2
l'avant-dernière ligne de mon batch.
Donc la commande :
"REG ADD HKLM ... %value% /F"
doit être écrite sur une SEULE ligne !
NB: j'ai mis le batch en pièce-jointe, en souhaitant qu'il passe !
"Jean-Claude BELLAMY" a écrit dans le
message de news:[...]
Si c'est cela, c 'est très simple, avec ce batch p.ex. :
Fichier "usbstor.cmd"
------------- couper ici -------------
@echo off
for %%R in (yes no) do if /i %1.==%%R. goto %%R
echo Syntaxe :
echo usbstor yes^|no
goto finyes
set value=3
goto suiteno
set value=4suite
REG ADD HKLMSystemCurrentControlSetServicesUSBSTOR /v Start /t
REG_DWORD /d %value% /Ffin
------------- couper ici -------------
Je me rends compte que mon lecteur de news (WLM) a coupé en 2
l'avant-dernière ligne de mon batch.
Donc la commande :
"REG ADD HKLM ... %value% /F"
doit être écrite sur une SEULE ligne !
NB: j'ai mis le batch en pièce-jointe, en souhaitant qu'il passe !
Bonjour,
============================ > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
>> LCA, mais, (...)
>> - travaillant dans un secteur sensible et, à la demande de mon
>> patron, (...)
============================ >
.... Et ton "secteur sensible" c'est un réseau ?
avec un serveur controleur de domaine ?
avec des OU , des stratégies ?
Parce que ... pour faire ce type de manip,
l'utilisation des stratégies (machine et/ou utilisateurs)
est quand même nettement plus pratique...
C'est prévu pour !
d'autant que les ACL (or LCA ... as you want)
sur les branches de la BdR
peuvent aussi être modifiées ainsi .
Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
ces choses là de façon plus "rustique"
( je n'ai pas dit "agricole" ;o) ) .
Ainsi et pour me résumer,
la question initiale et le contexte restent à préciser....
HB
Bonjour,
============================ > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
>> LCA, mais, (...)
>> - travaillant dans un secteur sensible et, à la demande de mon
>> patron, (...)
============================ >
.... Et ton "secteur sensible" c'est un réseau ?
avec un serveur controleur de domaine ?
avec des OU , des stratégies ?
Parce que ... pour faire ce type de manip,
l'utilisation des stratégies (machine et/ou utilisateurs)
est quand même nettement plus pratique...
C'est prévu pour !
d'autant que les ACL (or LCA ... as you want)
sur les branches de la BdR
peuvent aussi être modifiées ainsi .
Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
ces choses là de façon plus "rustique"
( je n'ai pas dit "agricole" ;o) ) .
Ainsi et pour me résumer,
la question initiale et le contexte restent à préciser....
HB
Bonjour,
============================ > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
>> LCA, mais, (...)
>> - travaillant dans un secteur sensible et, à la demande de mon
>> patron, (...)
============================ >
.... Et ton "secteur sensible" c'est un réseau ?
avec un serveur controleur de domaine ?
avec des OU , des stratégies ?
Parce que ... pour faire ce type de manip,
l'utilisation des stratégies (machine et/ou utilisateurs)
est quand même nettement plus pratique...
C'est prévu pour !
d'autant que les ACL (or LCA ... as you want)
sur les branches de la BdR
peuvent aussi être modifiées ainsi .
Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
ces choses là de façon plus "rustique"
( je n'ai pas dit "agricole" ;o) ) .
Ainsi et pour me résumer,
la question initiale et le contexte restent à préciser....
HB
Bonjour Jean-Claude, Herser et "moi",
J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...
Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).
Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Je vous tiens au courant.
Merci encrore,
Richard.
"moi" a écrit :
> Bonjour,
>
>
> ============================ > > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
> >> LCA, mais, (...)
> >> - travaillant dans un secteur sensible et, à la demande de mon
> >> patron, (...)
> ============================ > >
> .... Et ton "secteur sensible" c'est un réseau ?
> avec un serveur controleur de domaine ?
> avec des OU , des stratégies ?
>
> Parce que ... pour faire ce type de manip,
> l'utilisation des stratégies (machine et/ou utilisateurs)
> est quand même nettement plus pratique...
> C'est prévu pour !
> d'autant que les ACL (or LCA ... as you want)
> sur les branches de la BdR
> peuvent aussi être modifiées ainsi .
>
> Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
> ces choses là de façon plus "rustique"
> ( je n'ai pas dit "agricole" ;o) ) .
>
> Ainsi et pour me résumer,
> la question initiale et le contexte restent à préciser....
>
> HB
>
>
Bonjour Jean-Claude, Herser et "moi",
J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...
Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).
Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Je vous tiens au courant.
Merci encrore,
Richard.
"moi" a écrit :
> Bonjour,
>
>
> ============================ > > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
> >> LCA, mais, (...)
> >> - travaillant dans un secteur sensible et, à la demande de mon
> >> patron, (...)
> ============================ > >
> .... Et ton "secteur sensible" c'est un réseau ?
> avec un serveur controleur de domaine ?
> avec des OU , des stratégies ?
>
> Parce que ... pour faire ce type de manip,
> l'utilisation des stratégies (machine et/ou utilisateurs)
> est quand même nettement plus pratique...
> C'est prévu pour !
> d'autant que les ACL (or LCA ... as you want)
> sur les branches de la BdR
> peuvent aussi être modifiées ainsi .
>
> Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
> ces choses là de façon plus "rustique"
> ( je n'ai pas dit "agricole" ;o) ) .
>
> Ainsi et pour me résumer,
> la question initiale et le contexte restent à préciser....
>
> HB
>
>
Bonjour Jean-Claude, Herser et "moi",
J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...
Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).
Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Je vous tiens au courant.
Merci encrore,
Richard.
"moi" a écrit :
> Bonjour,
>
>
> ============================ > > >> Oui, je sais que toutes les clefs de la BDR possèdent leur propre
> >> LCA, mais, (...)
> >> - travaillant dans un secteur sensible et, à la demande de mon
> >> patron, (...)
> ============================ > >
> .... Et ton "secteur sensible" c'est un réseau ?
> avec un serveur controleur de domaine ?
> avec des OU , des stratégies ?
>
> Parce que ... pour faire ce type de manip,
> l'utilisation des stratégies (machine et/ou utilisateurs)
> est quand même nettement plus pratique...
> C'est prévu pour !
> d'autant que les ACL (or LCA ... as you want)
> sur les branches de la BdR
> peuvent aussi être modifiées ainsi .
>
> Sinon, regini.exe permet aussi de régler ( dans un *.bat !)
> ces choses là de façon plus "rustique"
> ( je n'ai pas dit "agricole" ;o) ) .
>
> Ainsi et pour me résumer,
> la question initiale et le contexte restent à préciser....
>
> HB
>
>
Bonjour Jean-Claude, Herser et "moi",
J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...
Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).
Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Bonjour Jean-Claude, Herser et "moi",
J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...
Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).
Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Bonjour Jean-Claude, Herser et "moi",
J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
inversement). Ce script fonctionne très bien.
Seulement, si les utilisateurs ont accès à la modification de cette clé de
la base de registre, alors mon script ne sert à rien...
Donc, je répond à une de tes remarques : les utilisateurs
non-administrateurs ont bien accès à la modification de cette valeur de la
registry (j'ai fait le test).
Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
"Richard_35" a écrit dans le message
de news:
> Bonjour Jean-Claude, Herser et "moi",
>
> J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
> inversement). Ce script fonctionne très bien.
> Seulement, si les utilisateurs ont accès à la modification de cette clé de
> la base de registre, alors mon script ne sert à rien...
Évidemment, mais normalement, les utilisateurs lambdas n'ont pas accès en
écriture à cette clef ...
> Donc, je répond à une de tes remarques : les utilisateurs
> non-administrateurs ont bien accès à la modification de cette valeur de la
> registry (j'ai fait le test).
C'est ABSOLUMENT A-NOR-MAL !!!!!
Un utilisateur "lambda" n'a que des droits en lecture sur HKLMSystem !!!!
Et cela quelque soit l'OS (j'ai vérifié : NT4, W2K, XP, Vista, W2K3, et sur
plusieurs machines ).
Donc soit tes utilisateurs font partie des admins, soit la LCA de
HKLMSystem... a été modifiée volontairement !
Dans les 2 cas c'est ANORMAL et DANGEREUX ...
Peux-tu nous faire une capture d'écran des autorisations de cette clef ?
Comme ceci :
http://cjoint.com/?khrja5akEG
> Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
> gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Pour avoir de l'aide, dans une fenêtre de commandes :
REGINI /?
et aussi
REG /?
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
"Richard_35" <Richard35@discussions.microsoft.com> a écrit dans le message
de news:E375D69D-2E5C-49D2-8ECA-01DDFCCC5CC6@microsoft.com...
> Bonjour Jean-Claude, Herser et "moi",
>
> J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
> inversement). Ce script fonctionne très bien.
> Seulement, si les utilisateurs ont accès à la modification de cette clé de
> la base de registre, alors mon script ne sert à rien...
Évidemment, mais normalement, les utilisateurs lambdas n'ont pas accès en
écriture à cette clef ...
> Donc, je répond à une de tes remarques : les utilisateurs
> non-administrateurs ont bien accès à la modification de cette valeur de la
> registry (j'ai fait le test).
C'est ABSOLUMENT A-NOR-MAL !!!!!
Un utilisateur "lambda" n'a que des droits en lecture sur HKLMSystem !!!!
Et cela quelque soit l'OS (j'ai vérifié : NT4, W2K, XP, Vista, W2K3, et sur
plusieurs machines ).
Donc soit tes utilisateurs font partie des admins, soit la LCA de
HKLMSystem... a été modifiée volontairement !
Dans les 2 cas c'est ANORMAL et DANGEREUX ...
Peux-tu nous faire une capture d'écran des autorisations de cette clef ?
Comme ceci :
http://cjoint.com/?khrja5akEG
> Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
> gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Pour avoir de l'aide, dans une fenêtre de commandes :
REGINI /?
et aussi
REG /?
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
"Richard_35" a écrit dans le message
de news:
> Bonjour Jean-Claude, Herser et "moi",
>
> J'ai déjà écrit le script (.bat) qui change cette valeur (de 3 en 4, et
> inversement). Ce script fonctionne très bien.
> Seulement, si les utilisateurs ont accès à la modification de cette clé de
> la base de registre, alors mon script ne sert à rien...
Évidemment, mais normalement, les utilisateurs lambdas n'ont pas accès en
écriture à cette clef ...
> Donc, je répond à une de tes remarques : les utilisateurs
> non-administrateurs ont bien accès à la modification de cette valeur de la
> registry (j'ai fait le test).
C'est ABSOLUMENT A-NOR-MAL !!!!!
Un utilisateur "lambda" n'a que des droits en lecture sur HKLMSystem !!!!
Et cela quelque soit l'OS (j'ai vérifié : NT4, W2K, XP, Vista, W2K3, et sur
plusieurs machines ).
Donc soit tes utilisateurs font partie des admins, soit la LCA de
HKLMSystem... a été modifiée volontairement !
Dans les 2 cas c'est ANORMAL et DANGEREUX ...
Peux-tu nous faire une capture d'écran des autorisations de cette clef ?
Comme ceci :
http://cjoint.com/?khrja5akEG
> Pour "moi" : je ne connaissais pas "regini.exe", et je dois découvrir la
> gestion des stratégies. Donc, "regini.exe" me paraît intéressant.
Pour avoir de l'aide, dans une fenêtre de commandes :
REGINI /?
et aussi
REG /?
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Voici :
http://cjoint.com/?khrFqaFBFM
Voici :
http://cjoint.com/?khrFqaFBFM
Voici :
http://cjoint.com/?khrFqaFBFM