Empecher l'execution des .bat

Empecher l'execution des .bat - Windows & Software

Marsh Posté le 15-02-2005 à 15:36:49    

Dans un réseau sous domaine 2k, les postes sont des 98se, 2k et XP.
 
Je ne peux empecher l'execution des .bat par les GPO sans influer sur l'execution des scripts de connexions eux-mêmes (dixit l'aide des GPO concernées)
 
Pourtant j'aimerai empecher les users de créer des .txt avec des commandes DOS et des les renommer en .bat pour exécution.
 
Y a t'il un moyen ?
 
Merci

Reply

Marsh Posté le 15-02-2005 à 15:36:49   

Reply

Marsh Posté le 15-02-2005 à 15:47:19    

Drole d'idée...  
J'aimerai bien connaitre la difference qu'il y a entre, par exemple, faire une copie de fichier et faire un copy sous "dos". Et si tes utilisateurs ont le droit de faire une copie de fichier sous dos, pourquoi il pourait pas automatiser leurs copies dans un script ?
Et si tu leur interdit (surement impossible) les scripts, qu'est ce qui va les empecher de faire la meme chose avec un .exe ? a ta place, je leur interdirai de lancer quoi que ce soit, ce sera plus simple... :D
 
Serieusement, je comprend pas du tout ce que tu cherche a faire et pourquoi.

Reply

Marsh Posté le 15-02-2005 à 15:49:27    

Je comprend pas trop la finalité non plus.
En shootant les références aux .bat dans les bdr on doit arriver au résultat voulu, mais ca m'etonnerais que les scripts des GPO fonctionnent toujours apres.

Reply

Marsh Posté le 15-02-2005 à 16:05:27    

A la base mes users n'ont pas la possibilité de lancer l'interpreteur de commande et n'ont aucun besoin d'executer des .bat (ce sont des élèves)
 
Certains ont trouvé le moyen de créer des .bat à partir de .txt pour par exemple envoyer des netsend.
 
Bon ca reste bon enfant ...
 
mais dernièrement j'ai trouvé une tentative de formatage avec un "format c:". Leurs droits ne leur permet pas d'executer une telle commande; malgré tout je trouve que cela pourrait être une faille.
 
D'où ma question : comment empecher mes users de créer des scripts dos et des les executer ?

Reply

Marsh Posté le 15-02-2005 à 16:18:56    

désactive netsend dans ton premier cas.
sinon quel niveau scolaire tes élèves ?
qu'ils formatent où qu'ils suppriment à la main des .dll, le résultat sera le même, un pc en vrac, et tu n'aurais aucun moyen de remonter à qui à utiliser tel pc à tel moment ?
les pc sont desintés à quoi ? libre service ? programmes particuliers ?

Reply

Marsh Posté le 15-02-2005 à 16:31:07    

Pour le netsend c'est pas grave
 
Quand à effacer des fichiers systèmes, ils n'ont pas accès à la partition système (bien que sur les 98se cela soit facilement contournable)
 
niveau collège. Dans l'absolu, je ne crains pas grand chose. Ceux qui se sont permis cela vont recevoir un rappel à l'ordre (il existe une Charte à respecter)
 
C'est plus pour mon instruction technique que je m'interesse au problème

Reply

Marsh Posté le 15-02-2005 à 16:49:30    

Par stratégie, tu peux bloquer tous les exécutables que tu veux. Tu as également effectivement un stratégie qui te permet de désactiver l'invite de commande de Windows. Mais rien ne pourra les empêcher de faire des TXT pour les renommer en BAT et lancer des commandes ou des scripts. A moins bien sûr de bloquer tes propres scripts au passage.

Reply

Marsh Posté le 15-02-2005 à 16:51:15    

Citation :


mais dernièrement j'ai trouvé une tentative de formatage avec un "format c:". Leurs droits ne leur permet pas d'executer une telle commande


Bein voila, donc pas de faille.
Encore une fois, tout ce qu'ils peuvent faire en ligne de commande, ils peuvent le faire de facon graphique, et inversement. Donc les .bat ne sont pas un probleme.
Ce qui importe, c'est que leur droits les empeche effectivement d'aller par exemple dans le gestionaire de disque pour repartioner sauvagement le disque dur (ou lancer la commande fdisk, c'est pareil).
Bref, du moment que leur compte soit restreint, tu ne craint rien, en tout cas le .bat n'est pas une faille en soi.
 
Evidement windows 98 c'est pas fait pour ca, sur ce genre d'os mono utilisateurs, je crois qu'il faut simplement que tu te resigne a l'idée qu'ils pouront toujours faire tout ce qu'ils voudront.
(sur les pcs avec 2000 ou XP aussi hein... c'est juste plus compliqué). Et comme tu l'a si bien dit, apres il y a une charte a respecter a toi de bien leur rappeler.
(mais souviens toi que plus tu interdira, plus ils tenteront de le faire quand meme, ce qui ne sera pas forcement un mal d'ailleur c'est surement comme ca qu'ils apprendront le plus :)

Reply

Marsh Posté le 15-02-2005 à 16:56:55    

Je ne leur en veux pas d'essayer. tant meiux s'ils dépassent déjà le cadre du formatage de texte dans word. Il faut simplement que je fasse respecter un semblant d'ordre dans l'interêt général. Ma foi, ils n'ont qu'à essayer chez eux.
Et puis je n'ai guère le temps de remedier aux problèmes. il me faut donc sécuriser le tout un minimum.
 
Dommage qu'on ne puisse pas restreindre ce que peut ou non lancer l'user sans affecter le système lui-même.

Reply

Marsh Posté le 15-02-2005 à 17:15:55    

bha y'a bien l'utilisation de poledit, non ? (pour le pb des 9x)


Message édité par Latinus le 15-02-2005 à 17:16:22
Reply

Marsh Posté le 15-02-2005 à 17:15:55   

Reply

Marsh Posté le 15-02-2005 à 17:16:43    

Sauf qu'un .bat, ce n'est qu'un regroupement de commande systeme de base... et tu peux tres bien interdire chacune de ces commandes si elles te semble dangereuses.
Apres bein... ils peuvent lancer leur .bat si ils veulent auncune commande a l'interieur ne s'executera.
 
Et moi non plus j'aurai pas apprecié une tentative de formatage ;) c'est sur qu'on a pas que ca a faire de reparer leurs conneries :)

Reply

Marsh Posté le 15-02-2005 à 17:18:51    

Latinus a écrit :

bha y'a bien l'utilisation de poledit, non ? (pour le pb des 9x)


 
oui, enfin un équivalent : winlock
 
il n'empeche que sous 98se, il est aisé d'accéder à la partition système par exemple. Poledit ou consorts ne font que la masquer dans le poste de travail.

Reply

Marsh Posté le 15-02-2005 à 17:20:48    

Alana a écrit :

Sauf qu'un .bat, ce n'est qu'un regroupement de commande systeme de base... et tu peux tres bien interdire chacune de ces commandes si elles te semble dangereuses.
Apres bein... ils peuvent lancer leur .bat si ils veulent auncune commande a l'interieur ne s'executera.
 
Et moi non plus j'aurai pas apprecié une tentative de formatage ;) c'est sur qu'on a pas que ca a faire de reparer leurs conneries :)


 
Tu veux dire passer par les GPO pour interdire les executables un par un ? Oui mais sous 98 ?
 
Et QUID des commandes DOS qu'ils téléchargeraient à partir d'Internet ?

Reply

Marsh Posté le 15-02-2005 à 17:31:27    

Tiens je viens de me rendre compte que sous 98se, un user ne peut pas lancer de .bat sans avoir un message de refus (contacter admin). Pourtant les scripts de connexion s'executent bien.
 
faudrait que j'arrive à avoir les mêmes résultats par GPO pour les 2k/XP

Reply

Marsh Posté le 15-02-2005 à 17:40:20    

Sous 98, personelemnt j'essayerai pas de sécuriser quoi que ce soit. C'est un systeme mono utilisateur point. on ne fait pas un gateau avec du ciment  :D
 
En ce qui concerne les commandes telechargées sur le net, ca ne devrait jamais etre un souci en matiere de sécurité.
Un OS interdit un certain nombre de fonction aux utilisateurs non privilegiés. Que ce soit la commande du systeme ou n'importe quel exe telchargé sur le net, c'est bien le meme appel de la meme fonction qui sera envoyé au noyau de l'os concerné. Donc dans tous les cas, ce sera refusé. Que la commande s'appelle format ou myformat ou n'importe quoi, qu'elle est été compilé a partir d'un prog en C ou en n'importe quoi d'autre, au final elle appelera surement la meme fonction.  
Maintenant mes competances s'arrete la, surtout sous windows que je maitrise pas du tout sur ce sujet.
 
Edit : et a mon avis tu va un peu loin dans le cadre d'un college la... tu peux etre sur et certain que leur prochain but, c'est le mot de passe admin (ou au moins le compte). Alors toutes tes bidouilles pour essayer de les empecher de faire certains trucs precis, ca va pas les arreter beaucoup... Pessimiste moi ? nooonnnnn :)


Message édité par Alana le 15-02-2005 à 17:43:07
Reply

Marsh Posté le 15-02-2005 à 18:00:42    

Pour le mdp admin, y'a ce con de prof ressource qui ouvre sa session admin du domaine à ses élèves qui oublient leurs identifiants.
 
Mais là la faille n'est pas technique, elle est humaine :fou:

Reply

Marsh Posté le 15-02-2005 à 21:03:29    

oui elle est humaine dans le sens où on se demande pourquoi un prof à besoin d'un compte admin :sarcastic: (et surtout pourquoi on le lui a donné).


Message édité par Latinus le 15-02-2005 à 21:03:47
Reply

Marsh Posté le 16-02-2005 à 11:55:05    

parce qu'il est prof ressource (ie normalement celui qui gère tout ce qui est TICE, les new technology quoi) c'est marqué !
 
Il est bien évident que les autres profs sont quasi aussi limités que les élèves.

Reply

Marsh Posté le 16-02-2005 à 12:11:42    

Bha chez nous on a des profs qui sont IE ou IR ou même hors classe, ils n'ont pas d'accès admin au domaine pour autant...
A la limite il a un "pilote" sur lequel il fait ce qu'il veut, mais cela ne doit pas interférer avec la gestion du site à proprement parler.

Reply

Marsh Posté le 16-02-2005 à 12:14:50    

IE? IR ?
 
Si cela ne tenait qu'à moi, il n'aurait le droit à rien tellement il est mauvais (et donc au mieux inutile)
 
Mais cela ne tient pas qu'à moi. En tant que prof ressource (même s'il ne s'occupe en rien du réseau), il doit avoir un compte admin du domaine.
 
C'est ainsi, le statut prime sur le bon sens. D'ailleurs tout prime sur le bon sens à l'EN.

Reply

Marsh Posté le 16-02-2005 à 12:17:21    

Latinus a écrit :

Bha chez nous on a des profs qui sont IE ou IR ou même hors classe, ils n'ont pas d'accès admin au domaine pour autant...
A la limite il a un "pilote" sur lequel il fait ce qu'il veut, mais cela ne doit pas interférer avec la gestion du site à proprement parler.


 
Ouais enfin dans les etablissements scolaires c'est malheureusement souvent une question de politique et d'influences internes qui font que certains auront certains droits qu'une question de technique ou de sécurité :/

Reply

Marsh Posté le 16-02-2005 à 16:12:54    

Mwouais, c'est sûr.
En même temps, suis dans l'EN itou... et ça ne marche pas d tout comme ça (école ingé).

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed