Discussion :

[Watilin]

Bonsoir !

Voilà plusieurs jours que je patauge dans mon Windoz XP, depuis qu'il m'est venu l'idée folle de vouloir empêcher les programmes Adobe de mettre le dawa sur ma machine.
En effet, j'ai constaté que lors de l'ouverture de Photoshop CS5, le vil coyote me rajoute une clé ShellNew sous HKCR\.psd, et lance un certain CS5.5 Service Manager qui ne se ferme pas tout seul et dont je ne sais rien.
J'aime avoir un système propre, comprenez-moi. C'est pourquoi je recherche un moyen d'empêcher ça, et si possible un moyen élégant, c'est-à-dire facilement généralisable, et qui ne suppose pas d'action inhabituelle de la part de l'utilisateur (comme par exemple, lancer un batch au lieu de lancer le programme directement).

J'ai l'intuition qu'une stratégie de groupe peut répondre à mon besoin. Mais je ne connais pas bien ce machin.

En l'état actuel des choses, j'ai réussi à créer un groupe « Programmes Adobe » avec la console lusrmgr.msc. J'ai également réussi à créer une règle de chemin d'accès, avec gpedit.msc, interdisant l'exécution de tous les programmes Adobe. Je pense que la solution se situe entre les deux... J'ai besoin de vos conseils pour m'éclairer.

Pour résumer tout ça en une question :
Comment puis-je utiliser le mécanisme de sécurité de Windows XP pour restreindre les droits des programmes Adobe ?

Merci d'avance

[gretch]

je vois ou tu veux aller ptit malin ^^

le problème, c'est que quant un programme est exécuter,
il l'est avec une identité.

Dans la plupart des cas, cette identité est la meme que celle de l'utilisateur ou le compte "système".

on ne peux pas (dans ces 2 cas précis) différencier l'utilisateur du programme.

ce que tu peut tester :
- créer un compte ADOBE (fait)
- dans Regedit tu fait clique droit sur la ruche que tu veux proteger puis /autorisations, là tu ajoute le compte ADOBE en refus d'ecriture
puis tu tente un executer photoshop en tant que... ADOBE

que se passe t'il ?
en toute logique il n'arrivera pas à ecrire sa valeur mais est ce que ça va lui plaire, pas sure

[cubitus91]

Bonsoir !

Voilà plusieurs jours que je patauge dans mon Windoz XP, depuis qu'il m'est venu l'idée folle de vouloir empêcher les programmes Adobe de mettre le dawa sur ma machine.
En effet, j'ai constaté que lors de l'ouverture de Photoshop CS5, le vil coyote me rajoute une clé ShellNew sous HKCR\.psd, et lance un certain CS5.5 Service Manager qui ne se ferme pas tout seul et dont je ne sais rien.
J'aime avoir un système propre, comprenez-moi. C'est pourquoi je recherche un moyen d'empêcher ça, et si possible un moyen élégant, c'est-à-dire facilement généralisable, et qui ne suppose pas d'action inhabituelle de la part de l'utilisateur (comme par exemple, lancer un batch au lieu de lancer le programme directement).

J'ai l'intuition qu'une stratégie de groupe peut répondre à mon besoin. Mais je ne connais pas bien ce machin.

En l'état actuel des choses, j'ai réussi à créer un groupe « Programmes Adobe » avec la console lusrmgr.msc. J'ai également réussi à créer une règle de chemin d'accès, avec gpedit.msc, interdisant l'exécution de tous les programmes Adobe. Je pense que la solution se situe entre les deux... J'ai besoin de vos conseils pour m'éclairer.

Pour résumer tout ça en une question :
Comment puis-je utiliser le mécanisme de sécurité de Windows XP pour restreindre les droits des programmes Adobe ?

Merci d'avance

Euh, ma réponse va sembler peux etre un peu con, la réponse à tes besoins sont virtualisation d'application.
Des produits comme APP-V ou Thinapp ....
En gros tu va créer une bulle applicative et pas de pollution de ton poste utilisateur.
Cordialement

[Watilin]

Hello !

- dans Regedit tu fait clique droit sur la ruche que tu veux proteger puis /autorisations, là tu ajoute le compte ADOBE en refus d'ecriture
puis tu tente un executer photoshop en tant que... ADOBE

ADOBE n'apparaît pas dans la liste « exécuter en tant que ». En fait, actuellement j’ai le groupe Programmes Adobe et l’utilisateur Adobe. J’ai ajouté Adobe au groupe Programmes Adobe, mais je suppose que je dois également l’ajouter à un groupe prédéfini… Lequel ?

En attendant votre réponse, je vais me pencher sur la piste proposée par Cubitus

[gretch]

puis tu tente un executer photoshop en tant que... ADOBE

qu'est ce que cela à donner alors ?

[Watilin]

C'est justement ce que je demandais. Dans la liste « exécuter en tant que... » J'ai Administrateur et Watilin, et rien d'autre.
C'est pour ça que je demandais s'il faut que j'ajoute mon groupe Programmes Adobe à un autre groupe...

[gretch]

muai après verif, moi aussi... bon il y aurais bien psexec, mais je trouve que ça fait tres bricolage pour ce besoin...

t'es sure qu'il n'y a pas un paramètre soft pour empécher le comportement à la source plutôt de lui interdire niveau OS ?

[minnesota]

C'est justement ce que je demandais. Dans la liste « exécuter en tant que... » J'ai Administrateur et Watilin, et rien d'autre.
C'est pour ça que je demandais s'il faut que j'ajoute mon groupe Programmes Adobe à un autre groupe...

Salut,

Ce n'est pas parce que le nom de compte n'apparait pas dans la liste (comportement par défaut) qu'il ne peut pas être tapé en toutes lettres dans cette liste déroulante...

J'ai moi même sur un PC un compte restreint (lancer a partir du compte courant et qui utilise le même environnement) dédié au lancement de certaines applications critiques pour lesquelles est appliquée une politique du moindre privilège. Accessoirement, on peut lier un raccourci à ces applications.

Enfin, il est possible de contrôler l'exécution des services via le gestionnaire de service, c'est fait pour. Pour le contrôle d'accès à certaines clefs de registre, on peut se l'interdire à soi-même, y compris au compte système, mais cela n'empêche de changer les droits aux besoins. Ça évite de faire un compte Adobe.

Par contre le titre de la discussion c'est pas ça...