Sunny81 10 Geschrieben 30. November 2004 Melden Geschrieben 30. November 2004 Bisher habe ich nur das NTFS-Recht Ausführen für die regedit.exe und regedt32.exe für alle User außer den Admins unterbunden. Nun gibt es jedoch sicherlich auch Tools die ohne vorherige INstallation (keine Schreibrechte auf C:\Programme) auf die Registry zugreifen können. Hat jemand ne Idee, wie man generell den Zugriff auf die Registry (zumindest schreibend) unterbinden kann und somit allen Tools den Nährboden nimmt?
die kriese 10 Geschrieben 30. November 2004 Melden Geschrieben 30. November 2004 moin moin sicher könntest du regedt32.echse aufrufen und dann jeweils auf die fünf hkey's die berechtigungen runtersetzen. je nachdem was du für ein system hast ?? läuft dann dein backup, dein sql oder wer weiss was nicht mehr. sowas würde ich als sehr mutig definieren. oder möchtest du verhindern, das sich die client alles mögliche installieren? hier würde ich mal ganz vorsichtig bei hkey_local_machine software anfangen. trotzdem wirst du nicht zu 100% verhindern können, das es ausführbare programme gibt, die trotz registry und ntfs beschränkungen ausgeführt werden. gruss d.k.
Sunny81 10 Geschrieben 30. November 2004 Autor Melden Geschrieben 30. November 2004 mir geht es nicht nur darum, dass sämtliche Programme ohne das Wissen der Admins ausgeführt werden können sondern auch andere Berechtigungen mittels Änderung an der Registry erschlichen werden können - deshalb würde ich den Schreibzugriff auf die Registry für normale User gern unterbinden.
Data1701 10 Geschrieben 30. November 2004 Melden Geschrieben 30. November 2004 Nur nocheinmal nachgefragt: Aufruf Regedit.exe soll verhindert werden, korrekt ? Das geht über den Schlüssel: DisableRegistryTools REG_DWORD Boolean 0 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System Das geht auch über eine GPO. Müsste ich jetzt aber erst suchen. Vielleicht findest Du ja was unter : http://www.gruppenrichtlinien.de/ Gruß Data
Sunny81 10 Geschrieben 1. Dezember 2004 Autor Melden Geschrieben 1. Dezember 2004 Dank dir Data! Sag mal, wenn ich den RegWert ändere, dann greift das für alle RegEdit-Tools oder nur für bestimmte? Wichtig ist's mir, dass die "Möchtegern-Admins" auch bei dem Status bleiben und durch ein paar Klicks "aufsteigen".
Data1701 10 Geschrieben 1. Dezember 2004 Melden Geschrieben 1. Dezember 2004 Hi Sunny81, gute Frage. Ich habe noch nicht geteset ob Non-MS Reg-Tools damit eingeschlossen sind. Wenn Du es getestet hast kurze PN an mich. Gruß Data.
Basran 10 Geschrieben 2. Dezember 2004 Melden Geschrieben 2. Dezember 2004 Wenn Du HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\DisableRegistryTools=0 setzt, nicht vergessen auch die Schreibrechte für diesen Key den Nicht-Admins wegnehmen. Sonst haste mit ner kleine reg Daten wieder alle Rechte. So muss ich ich das hier machen, weil die Ober Domain Admins diesen Key setzen und ich selbst als lokaler Admin nichts machen kann.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden