Sunny81 10 Geschrieben 30. November 2004 Melden Geschrieben 30. November 2004 Bisher habe ich nur das NTFS-Recht Ausführen für die regedit.exe und regedt32.exe für alle User außer den Admins unterbunden. Nun gibt es jedoch sicherlich auch Tools die ohne vorherige INstallation (keine Schreibrechte auf C:\Programme) auf die Registry zugreifen können. Hat jemand ne Idee, wie man generell den Zugriff auf die Registry (zumindest schreibend) unterbinden kann und somit allen Tools den Nährboden nimmt? Zitieren
die kriese 10 Geschrieben 30. November 2004 Melden Geschrieben 30. November 2004 moin moin sicher könntest du regedt32.echse aufrufen und dann jeweils auf die fünf hkey's die berechtigungen runtersetzen. je nachdem was du für ein system hast ?? läuft dann dein backup, dein sql oder wer weiss was nicht mehr. sowas würde ich als sehr mutig definieren. oder möchtest du verhindern, das sich die client alles mögliche installieren? hier würde ich mal ganz vorsichtig bei hkey_local_machine software anfangen. trotzdem wirst du nicht zu 100% verhindern können, das es ausführbare programme gibt, die trotz registry und ntfs beschränkungen ausgeführt werden. gruss d.k. Zitieren
Sunny81 10 Geschrieben 30. November 2004 Autor Melden Geschrieben 30. November 2004 mir geht es nicht nur darum, dass sämtliche Programme ohne das Wissen der Admins ausgeführt werden können sondern auch andere Berechtigungen mittels Änderung an der Registry erschlichen werden können - deshalb würde ich den Schreibzugriff auf die Registry für normale User gern unterbinden. Zitieren
Data1701 10 Geschrieben 30. November 2004 Melden Geschrieben 30. November 2004 Nur nocheinmal nachgefragt: Aufruf Regedit.exe soll verhindert werden, korrekt ? Das geht über den Schlüssel: DisableRegistryTools REG_DWORD Boolean 0 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System Das geht auch über eine GPO. Müsste ich jetzt aber erst suchen. Vielleicht findest Du ja was unter : http://www.gruppenrichtlinien.de/ Gruß Data Zitieren
Sunny81 10 Geschrieben 1. Dezember 2004 Autor Melden Geschrieben 1. Dezember 2004 Dank dir Data! Sag mal, wenn ich den RegWert ändere, dann greift das für alle RegEdit-Tools oder nur für bestimmte? Wichtig ist's mir, dass die "Möchtegern-Admins" auch bei dem Status bleiben und durch ein paar Klicks "aufsteigen". Zitieren
Data1701 10 Geschrieben 1. Dezember 2004 Melden Geschrieben 1. Dezember 2004 Hi Sunny81, gute Frage. Ich habe noch nicht geteset ob Non-MS Reg-Tools damit eingeschlossen sind. Wenn Du es getestet hast kurze PN an mich. Gruß Data. Zitieren
Basran 10 Geschrieben 2. Dezember 2004 Melden Geschrieben 2. Dezember 2004 Wenn Du HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\DisableRegistryTools=0 setzt, nicht vergessen auch die Schreibrechte für diesen Key den Nicht-Admins wegnehmen. Sonst haste mit ner kleine reg Daten wieder alle Rechte. So muss ich ich das hier machen, weil die Ober Domain Admins diesen Key setzen und ich selbst als lokaler Admin nichts machen kann. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.