Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Изменение реестра пользователями (http://forum.oszone.net/showthread.php?t=85318)

GuseV 12-06-2007 17:59 598449

Изменение реестра пользователями
 
Всем доброго дня. У меня сеть, домен Win 2003, сеть из WinXp.
Поставил gpmс, сделал так, чтоб все пользователи (кроме админа) не могли редактировать реестр (типа regedit.exe и все файлы *.reg). Вроде все хорошо, действительно пробраться в реестр нельзы, запустить reg файл тоже нельзя, то есть нельзя изменить реестр. НО! Каким то образом люди добовляют и изменяют реестр! КАК? Кроме утилит винды в сети не чего нет. Help....

Vadikan 12-06-2007 19:26 598486

Можно загрузиться с любого LiveCD и делать с реестром что угодно.

xoxmodav 13-06-2007 08:00 598618

Точно не скажу, но по-моему у пользователей по умолчанию есть право добавлять и изменять некоторые ветки реестра - это связано с работоспособностью системных приложений и прикладных программ.

Права у пользователей на локальных машинах какие - просто пользовательские (User), расширенные пользовательские (Power User) или админские (Administrators)?

monkkey 13-06-2007 09:23 598661

Какие ветки реестра? На HCSU, естественно, у пользователя есть права.

GuseV 13-06-2007 16:04 598854

Нет, наверное я немного неясно объяснил. Прав нет вообще. При попытке ввести пользователем regedit.exe пишет "данная команда запрешена администратором, пошли мол все на"...типа того. И при запуске файла *.reg посылает туда же! Народ вчера дал подсказку, пишу дословно: чем можно еще отредактировать реестр? Утилита виндовая. Или чем можно экспортировать данные в реестр? Не каких других способов загрузки, типа LiveCd нет, все закрыто, USB, Flop, CD, ВСЕ! Как они это делают???!!!!

xoxmodav 13-06-2007 16:33 598867

Есть ещё также стандартные "regedt32.exe", "reg.exe". Да и большая куча сторонних программ.

Какая ветка реестра редактируется и что именно они туда вводят?

P.S. Запрещал "regedit.exe" по пути к нему или по хэшу?

GuseV 13-06-2007 18:46 598949

regedit.exe запрещяет групповая политика gpmc. То есть, я ставлю утилиту gpmc, потом делаю новую групповую политику (которая нравиться мне, то есть чтоб не кто ни куда не лазил, типа реестра, настройки экрана ну и тд ) и применяю к пользователям или группам эту политику. Ветка реестра не имеет значение, имеет значение доступ к нему в целом, типа добовления ключей и тд. Сторонние программы принестись не могут, все закрыто.
Да, по ходу дела дыра найдена. Это reg.exe, эта команда выполняеться даже если закрыт доступ к regedit. Вот блин Microsoft недоглядел...Завтра на работе узнаю точно, но на домашнем компе при неразрешенной команде regedit я с помошью reg.exe удалил ветку реестра.... :sorry:

Vadikan 13-06-2007 19:51 598965

GuseV
См. Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

GuseV 14-06-2007 10:15 599154

Тему считаю решенной. Всему виной была "Утилита редактирования системного реестра из командной строки reg.exe". Дыру закрыл путем изменения политики ограниченного использования программ (хеш).

CyberDaemon 14-06-2007 10:32 599161

Цитата:

закрыл путем изменения политики ограниченного использования программ (хеш
Хмм.. А дописать пару байт в конец файла, чтобы хеш изменить?


GuseV 14-06-2007 10:42 599167

"Хмм.. А дописать пару байт в конец файла, чтобы хеш изменить?"
Будет ли работать утилита, если в нее записать пару байт? Тем более c:\windows\system32\reg.exe - только на чтение.

CyberDaemon 14-06-2007 10:52 599170

GuseV
Будет. Я же сказал дописать в конец, а не в тело файла. А то, что она только для чтения - это несущественно. Копировать-то ее можно? Ну и попробовать
Код:

copy /b reg.exe + reg.exe путь_в_папку_где_разрешена_запись\bigreg.exe

GuseV 14-06-2007 11:22 599186

Блин, и правда работает...Как по другому ограничить доступ к этому файлу, ну и не только к нему???
CyberDaemon есть предложения???

CyberDaemon 14-06-2007 11:38 599190

GuseV Я только придумал, как обойти этот запрет :) Прямо-таки пример вредного сообщения А вот как запретить... Может просто стереть редактор? Нет редактора - нет проблем. Понадобится админу отредактировать - он восстановит временно редактор.

GuseV 14-06-2007 11:56 599198

Нет, стереть редактор это не выход. Если кто нибудь его принесет под видом *.mp3, мол музыку послушать...
По моему я нашел другой путь: запретить использование веток реестра, которые назначу я :) , только не говори, что это тоже можно победить :o

xoxmodav 14-06-2007 11:59 599199

А вообще в групповых политиках есть очень замечательный раздел: "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Реестр". Где можно явным образом задать разрешения на различные ветки реестра для различных групп и пользователей.

GuseV 14-06-2007 12:08 599203

Че то я там не чего не могу изменить :search: Типа только могу добавить раздел.

CyberDaemon 14-06-2007 12:18 599206

Цитата:

Если кто нибудь его принесет под видом *.mp3, мол музыку послушать...
Цитата:

все закрыто, USB, Flop, CD, ВСЕ!
?

monkkey 14-06-2007 12:22 599208

CyberDaemon
Пришлет себе с внешней почты.

GuseV 14-06-2007 12:36 599213

"CyberDaemon
Пришлет себе с внешней почты."

Тоже верно :read: Так же люди через меня могут приносить музыку..он дома переделает файл exe на mp3, скажет мол скинь. А проверять все песенки попадос! Сейчас пытаюсь залататься путем закрытия веток реестра. :aggressiv


Время: 16:42.

Время: 16:42.
© OSzone.net 2001-