 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Empecher l'execution des .bat | |
| Latinus | Mwouais, c'est sûr.
En même temps, suis dans l'EN itou... et ça ne marche pas d tout comme ça (école ingé). |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Latinus | Mwouais, c'est sûr.
En même temps, suis dans l'EN itou... et ça ne marche pas d tout comme ça (école ingé). |
| El Pollo Diablo |
|
| ShonGail | IE? IR ?
Si cela ne tenait qu'à moi, il n'aurait le droit à rien tellement il est mauvais (et donc au mieux inutile) Mais cela ne tient pas qu'à moi. En tant que prof ressource (même s'il ne s'occupe en rien du réseau), il doit avoir un compte admin du domaine. C'est ainsi, le statut prime sur le bon sens. D'ailleurs tout prime sur le bon sens à l'EN. |
| Latinus | Bha chez nous on a des profs qui sont IE ou IR ou même hors classe, ils n'ont pas d'accès admin au domaine pour autant...
A la limite il a un "pilote" sur lequel il fait ce qu'il veut, mais cela ne doit pas interférer avec la gestion du site à proprement parler. |
| ShonGail | parce qu'il est prof ressource (ie normalement celui qui gère tout ce qui est TICE, les new technology quoi) c'est marqué !
Il est bien évident que les autres profs sont quasi aussi limités que les élèves. |
| Latinus | oui elle est humaine dans le sens où on se demande pourquoi un prof à besoin d'un compte admin :sarcastic: (et surtout pourquoi on le lui a donné). |
| ShonGail | Pour le mdp admin, y'a ce con de prof ressource qui ouvre sa session admin du domaine à ses élèves qui oublient leurs identifiants.
Mais là la faille n'est pas technique, elle est humaine :fou: |
| Alana | Sous 98, personelemnt j'essayerai pas de sécuriser quoi que ce soit. C'est un systeme mono utilisateur point. on ne fait pas un gateau avec du ciment :D
En ce qui concerne les commandes telechargées sur le net, ca ne devrait jamais etre un souci en matiere de sécurité. Un OS interdit un certain nombre de fonction aux utilisateurs non privilegiés. Que ce soit la commande du systeme ou n'importe quel exe telchargé sur le net, c'est bien le meme appel de la meme fonction qui sera envoyé au noyau de l'os concerné. Donc dans tous les cas, ce sera refusé. Que la commande s'appelle format ou myformat ou n'importe quoi, qu'elle est été compilé a partir d'un prog en C ou en n'importe quoi d'autre, au final elle appelera surement la meme fonction. Maintenant mes competances s'arrete la, surtout sous windows que je maitrise pas du tout sur ce sujet. Edit : et a mon avis tu va un peu loin dans le cadre d'un college la... tu peux etre sur et certain que leur prochain but, c'est le mot de passe admin (ou au moins le compte). Alors toutes tes bidouilles pour essayer de les empecher de faire certains trucs precis, ca va pas les arreter beaucoup... Pessimiste moi ? nooonnnnn :) |
| ShonGail | Tiens je viens de me rendre compte que sous 98se, un user ne peut pas lancer de .bat sans avoir un message de refus (contacter admin). Pourtant les scripts de connexion s'executent bien.
faudrait que j'arrive à avoir les mêmes résultats par GPO pour les 2k/XP |
| ShonGail |
|
| ShonGail |
|
| Alana | Sauf qu'un .bat, ce n'est qu'un regroupement de commande systeme de base... et tu peux tres bien interdire chacune de ces commandes si elles te semble dangereuses.
Apres bein... ils peuvent lancer leur .bat si ils veulent auncune commande a l'interieur ne s'executera. Et moi non plus j'aurai pas apprecié une tentative de formatage ;) c'est sur qu'on a pas que ca a faire de reparer leurs conneries :) |
| Latinus | bha y'a bien l'utilisation de poledit, non ? (pour le pb des 9x) |
| ShonGail | Je ne leur en veux pas d'essayer. tant meiux s'ils dépassent déjà le cadre du formatage de texte dans word. Il faut simplement que je fasse respecter un semblant d'ordre dans l'interêt général. Ma foi, ils n'ont qu'à essayer chez eux.
Et puis je n'ai guère le temps de remedier aux problèmes. il me faut donc sécuriser le tout un minimum. Dommage qu'on ne puisse pas restreindre ce que peut ou non lancer l'user sans affecter le système lui-même. |
| Alana |
|
| Wolfman | Par stratégie, tu peux bloquer tous les exécutables que tu veux. Tu as également effectivement un stratégie qui te permet de désactiver l'invite de commande de Windows. Mais rien ne pourra les empêcher de faire des TXT pour les renommer en BAT et lancer des commandes ou des scripts. A moins bien sûr de bloquer tes propres scripts au passage. |
| ShonGail | Pour le netsend c'est pas grave
Quand à effacer des fichiers systèmes, ils n'ont pas accès à la partition système (bien que sur les 98se cela soit facilement contournable) niveau collège. Dans l'absolu, je ne crains pas grand chose. Ceux qui se sont permis cela vont recevoir un rappel à l'ordre (il existe une Charte à respecter) C'est plus pour mon instruction technique que je m'interesse au problème |
| blueteen | désactive netsend dans ton premier cas.
sinon quel niveau scolaire tes élèves ? qu'ils formatent où qu'ils suppriment à la main des .dll, le résultat sera le même, un pc en vrac, et tu n'aurais aucun moyen de remonter à qui à utiliser tel pc à tel moment ? les pc sont desintés à quoi ? libre service ? programmes particuliers ? |
| ShonGail | A la base mes users n'ont pas la possibilité de lancer l'interpreteur de commande et n'ont aucun besoin d'executer des .bat (ce sont des élèves)
Certains ont trouvé le moyen de créer des .bat à partir de .txt pour par exemple envoyer des netsend. Bon ca reste bon enfant ... mais dernièrement j'ai trouvé une tentative de formatage avec un "format c:". Leurs droits ne leur permet pas d'executer une telle commande; malgré tout je trouve que cela pourrait être une faille. D'où ma question : comment empecher mes users de créer des scripts dos et des les executer ? |
| El Pollo Diablo | Je comprend pas trop la finalité non plus.
En shootant les références aux .bat dans les bdr on doit arriver au résultat voulu, mais ca m'etonnerais que les scripts des GPO fonctionnent toujours apres. |
| Alana | Drole d'idée... J'aimerai bien connaitre la difference qu'il y a entre, par exemple, faire une copie de fichier et faire un copy sous "dos". Et si tes utilisateurs ont le droit de faire une copie de fichier sous dos, pourquoi il pourait pas automatiser leurs copies dans un script ? Et si tu leur interdit (surement impossible) les scripts, qu'est ce qui va les empecher de faire la meme chose avec un .exe ? a ta place, je leur interdirai de lancer quoi que ce soit, ce sera plus simple... :D Serieusement, je comprend pas du tout ce que tu cherche a faire et pourquoi. |
| ShonGail | Dans un réseau sous domaine 2k, les postes sont des 98se, 2k et XP.
Je ne peux empecher l'execution des .bat par les GPO sans influer sur l'execution des scripts de connexions eux-mêmes (dixit l'aide des GPO concernées) Pourtant j'aimerai empecher les users de créer des .txt avec des commandes DOS et des les renommer en .bat pour exécution. Y a t'il un moyen ? Merci |
