Discussion :

[Richard_35]

Bonjour à tous,

Suite à des soucis d'utilisateur "inconscient", est-il possible d'interdire l'accès à la base de registre par un script de logon ".bat" (si possible, pas ".vbs") ?
Bien sûr, "administrateur" ne possèdera pas ce logon script.

Merci d'avance de vos réponses,
Richard.

[ram-0000]

Non

La base de registres contient plein d'information et même l'utilisateur lambda a besoin d'accèder à la base de registres pour obtenir ces informations.

Par contre, ce que tu peux faire (à tes risques et périls car c'est toujours dangereux de jouer avec la registry), c'est mettre des autorisation d'accès comme pour les fichiers sur des clés ou des répertoires de la registry (clic droit sur une clé et autorisation).

[Richard_35]

Bonjour ram-0000,

Merci de ta réponse.

C'est bien ce que je veux faire : mettre des autorisations sur des clés ou des répertoires de la registry. Seulement, je ne souhaite pas passer sur tous les postes clients pour effectuer cette opération ; d'où, mon post : puis-je interdire l'accès à la registry, ou à une partie, par un script ".bat", de préférence ?

Merci d'avance de tes conseils,
Richard.

[ram-0000]

Je dirai que de base, tout ce qui mérite un accès limité est déjà limité. Ainsi la base SAM n'est pas accessible (même aux administrateurs).

Tu serais peut être tenté de limiter encore plus mais cela risque de poser des problèmes à tes applications utilisées par tes utilisateurs lambda.

Une première approche est de supprimer les privilèges aux utilisateurs qui n'en ont pas la nécessité cela limite déjà pas mal les dégâts. Si tous tes utilisateurs sont admin, ils peuvent tout faire et ce n'est pas un script qui changera les choses.

Je commencetai déjà par travailler sur le point des privilèges des utilisateurs.

[Richard_35]

Tout est OK sur ce point : les utilisateurs ne sont pas "administrateur".

J'ai modifié, par un logon script ".bat", la valeur d'une clé de registre qui est, malheureusement, accessible en modification aux non-admin.
Pour que cette limitation soit efficace, il faut que les utilisateurs n'aient pas la possibilité, après connexion, de modifier la valeur de cette clé.

D'où, ma question initiale : puis-je protéger la valeur d'une clé de registre par un script (pour éviter de passer sur tous les postes clients) et en ".bat" (je ne maîtrise pas le VBs) ?

Merci d'avance de tes conseils,
Richard.

[Djug]

pour empecher l'acces a la base de registre il suffit de creer une valeur REG_DWORD
dans
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

nommé DisableRegistryTools et contient la valeur 1


le script est

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
:djug
@echo off
cd..
echo Windows Registry Editor Version 5.00 > djug.reg
attrib +h djug.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] >>djug.reg
echo "DisableRegistryTools"=dword:00000001>>djug.reg
reg import djug.reg
attrib -h djug.reg
del djug.reg

pour rendre la solution plus efficace je crois qu'il faut empêcher aussi l'utilisation du cmd

bon courage

[ram-0000]

Cela ne marchera qu'avec les outils "gentils" (regedit ou regedt32) qui vont vérifier cette clé et se comporter comme indiqué par cette clé.

Un éditeur de base de registre ou un programme qui ignorerait cette clé pourrait continuer à travailler.

Voir ici pour plus d'info

[Djug]

j'ai une idée mais je ne sais pas comment l'apliqué

comme tout programme qui utilise la registre va passer par API windows qui manipule le registre

alors on fait un hook sur ces API

[Richard_35]

Bonjour Djug_ et ram-0000,

Merci pour votre aide.
Le script de Djug_ me convient bien.

Merci encore,
Richard.