Sunny81 10 Posted November 30, 2004 Report Share Posted November 30, 2004 Bisher habe ich nur das NTFS-Recht Ausführen für die regedit.exe und regedt32.exe für alle User außer den Admins unterbunden. Nun gibt es jedoch sicherlich auch Tools die ohne vorherige INstallation (keine Schreibrechte auf C:\Programme) auf die Registry zugreifen können. Hat jemand ne Idee, wie man generell den Zugriff auf die Registry (zumindest schreibend) unterbinden kann und somit allen Tools den Nährboden nimmt? Quote Link to comment
die kriese 10 Posted November 30, 2004 Report Share Posted November 30, 2004 moin moin sicher könntest du regedt32.echse aufrufen und dann jeweils auf die fünf hkey's die berechtigungen runtersetzen. je nachdem was du für ein system hast ?? läuft dann dein backup, dein sql oder wer weiss was nicht mehr. sowas würde ich als sehr mutig definieren. oder möchtest du verhindern, das sich die client alles mögliche installieren? hier würde ich mal ganz vorsichtig bei hkey_local_machine software anfangen. trotzdem wirst du nicht zu 100% verhindern können, das es ausführbare programme gibt, die trotz registry und ntfs beschränkungen ausgeführt werden. gruss d.k. Quote Link to comment
Sunny81 10 Posted November 30, 2004 Author Report Share Posted November 30, 2004 mir geht es nicht nur darum, dass sämtliche Programme ohne das Wissen der Admins ausgeführt werden können sondern auch andere Berechtigungen mittels Änderung an der Registry erschlichen werden können - deshalb würde ich den Schreibzugriff auf die Registry für normale User gern unterbinden. Quote Link to comment
Data1701 10 Posted November 30, 2004 Report Share Posted November 30, 2004 Nur nocheinmal nachgefragt: Aufruf Regedit.exe soll verhindert werden, korrekt ? Das geht über den Schlüssel: DisableRegistryTools REG_DWORD Boolean 0 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System Das geht auch über eine GPO. Müsste ich jetzt aber erst suchen. Vielleicht findest Du ja was unter : http://www.gruppenrichtlinien.de/ Gruß Data Quote Link to comment
Sunny81 10 Posted December 1, 2004 Author Report Share Posted December 1, 2004 Dank dir Data! Sag mal, wenn ich den RegWert ändere, dann greift das für alle RegEdit-Tools oder nur für bestimmte? Wichtig ist's mir, dass die "Möchtegern-Admins" auch bei dem Status bleiben und durch ein paar Klicks "aufsteigen". Quote Link to comment
Data1701 10 Posted December 1, 2004 Report Share Posted December 1, 2004 Hi Sunny81, gute Frage. Ich habe noch nicht geteset ob Non-MS Reg-Tools damit eingeschlossen sind. Wenn Du es getestet hast kurze PN an mich. Gruß Data. Quote Link to comment
Basran 10 Posted December 2, 2004 Report Share Posted December 2, 2004 Wenn Du HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\DisableRegistryTools=0 setzt, nicht vergessen auch die Schreibrechte für diesen Key den Nicht-Admins wegnehmen. Sonst haste mit ner kleine reg Daten wieder alle Rechte. So muss ich ich das hier machen, weil die Ober Domain Admins diesen Key setzen und ich selbst als lokaler Admin nichts machen kann. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.