Изменение реестра пользователями
Всем доброго дня. У меня сеть, домен Win 2003, сеть из WinXp.
Поставил gpmс, сделал так, чтоб все пользователи (кроме админа) не могли редактировать реестр (типа regedit.exe и все файлы *.reg). Вроде все хорошо, действительно пробраться в реестр нельзы, запустить reg файл тоже нельзя, то есть нельзя изменить реестр. НО! Каким то образом люди добовляют и изменяют реестр! КАК? Кроме утилит винды в сети не чего нет. Help....
|
Vadikan |
12-06-2007 19:26 598486 |
Можно загрузиться с любого LiveCD и делать с реестром что угодно.
|
xoxmodav |
13-06-2007 08:00 598618 |
Точно не скажу, но по-моему у пользователей по умолчанию есть право добавлять и изменять некоторые ветки реестра - это связано с работоспособностью системных приложений и прикладных программ.
Права у пользователей на локальных машинах какие - просто пользовательские (User), расширенные пользовательские (Power User) или админские (Administrators)?
|
monkkey |
13-06-2007 09:23 598661 |
Какие ветки реестра? На HCSU, естественно, у пользователя есть права.
|
Нет, наверное я немного неясно объяснил. Прав нет вообще. При попытке ввести пользователем regedit.exe пишет "данная команда запрешена администратором, пошли мол все на"...типа того. И при запуске файла *.reg посылает туда же! Народ вчера дал подсказку, пишу дословно: чем можно еще отредактировать реестр? Утилита виндовая. Или чем можно экспортировать данные в реестр? Не каких других способов загрузки, типа LiveCd нет, все закрыто, USB, Flop, CD, ВСЕ! Как они это делают???!!!!
|
xoxmodav |
13-06-2007 16:33 598867 |
Есть ещё также стандартные "regedt32.exe", "reg.exe". Да и большая куча сторонних программ.
Какая ветка реестра редактируется и что именно они туда вводят?
P.S. Запрещал "regedit.exe" по пути к нему или по хэшу?
|
regedit.exe запрещяет групповая политика gpmc. То есть, я ставлю утилиту gpmc, потом делаю новую групповую политику (которая нравиться мне, то есть чтоб не кто ни куда не лазил, типа реестра, настройки экрана ну и тд ) и применяю к пользователям или группам эту политику. Ветка реестра не имеет значение, имеет значение доступ к нему в целом, типа добовления ключей и тд. Сторонние программы принестись не могут, все закрыто.
Да, по ходу дела дыра найдена. Это reg.exe, эта команда выполняеться даже если закрыт доступ к regedit. Вот блин Microsoft недоглядел...Завтра на работе узнаю точно, но на домашнем компе при неразрешенной команде regedit я с помошью reg.exe удалил ветку реестра.... :sorry:
|
Vadikan |
13-06-2007 19:51 598965 |
|
Тему считаю решенной. Всему виной была "Утилита редактирования системного реестра из командной строки reg.exe". Дыру закрыл путем изменения политики ограниченного использования программ (хеш).
|
CyberDaemon |
14-06-2007 10:32 599161 |
Цитата:
закрыл путем изменения политики ограниченного использования программ (хеш
|
Хмм.. А дописать пару байт в конец файла, чтобы хеш изменить?
|
"Хмм.. А дописать пару байт в конец файла, чтобы хеш изменить?"
Будет ли работать утилита, если в нее записать пару байт? Тем более c:\windows\system32\reg.exe - только на чтение.
|
CyberDaemon |
14-06-2007 10:52 599170 |
GuseV
Будет. Я же сказал дописать в конец, а не в тело файла. А то, что она только для чтения - это несущественно. Копировать-то ее можно? Ну и попробовать
Код:
copy /b reg.exe + reg.exe путь_в_папку_где_разрешена_запись\bigreg.exe
|
Блин, и правда работает...Как по другому ограничить доступ к этому файлу, ну и не только к нему???
CyberDaemon есть предложения???
|
CyberDaemon |
14-06-2007 11:38 599190 |
GuseV Я только придумал, как обойти этот запрет :) Прямо-таки пример вредного сообщения А вот как запретить... Может просто стереть редактор? Нет редактора - нет проблем. Понадобится админу отредактировать - он восстановит временно редактор.
|
Нет, стереть редактор это не выход. Если кто нибудь его принесет под видом *.mp3, мол музыку послушать...
По моему я нашел другой путь: запретить использование веток реестра, которые назначу я :) , только не говори, что это тоже можно победить :o
|
xoxmodav |
14-06-2007 11:59 599199 |
А вообще в групповых политиках есть очень замечательный раздел: "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Реестр". Где можно явным образом задать разрешения на различные ветки реестра для различных групп и пользователей.
|
Че то я там не чего не могу изменить :search: Типа только могу добавить раздел.
|
CyberDaemon |
14-06-2007 12:18 599206 |
Цитата:
Если кто нибудь его принесет под видом *.mp3, мол музыку послушать...
|
Цитата:
все закрыто, USB, Flop, CD, ВСЕ!
|
?
|
monkkey |
14-06-2007 12:22 599208 |
CyberDaemon
Пришлет себе с внешней почты.
|
"CyberDaemon
Пришлет себе с внешней почты."
Тоже верно :read: Так же люди через меня могут приносить музыку..он дома переделает файл exe на mp3, скажет мол скинь. А проверять все песенки попадос! Сейчас пытаюсь залататься путем закрытия веток реестра. :aggressiv
|
Время: 16:42.
© OSzone.net 2001-