Projet

Général

Profil

Tâche #11291

Distribution EOLE - Scénario #14167: Mettre à jour les règles et paramétrages ESU

Pouvoir limiter/interdire l'utilisation de "cmd.exe"

Ajouté par équipe eole Academie d'Orléans-Tours il y a environ 9 ans. Mis à jour il y a plus de 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Klaas TJEBBES
Version cible:
Distribution EOLE - Sprint 2015 49-51 - Équipe MENESR
Début:
17/04/2015
Echéance:
% réalisé:

100%

Temps estimé:
2.00 h
Restant à faire (heures):
0.0

Description

Une demande d'un collège sur des élèves qui arrivent à lancer "cmd.exe" via un .bat qui contient "cmd.exe", ceci autant sur XP que Win7 me semble assez facilement résolu par l'ajout de la regle suivante dans ESU.
Je l'ai créée via l'éditeur /home/esu/Console/ListeRegles.xml et cela donne :

<Regle classeobjet="REGISTRE" type="BOOLEEN">
<OS>254</OS>
<Intitule>désactiver cmd.exe</Intitule>
<Chemin>REG://HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System</Chemin>
<Variable nom="DisableCMD" type="DWORD">
<ValueOn>2</ValueOn>
<ValueOff>0</ValueOff>
</Variable>
<Commentaire>
desactiver CMD & les Batch : value=1
desactiver seulement CMD mais pas les batch il faut mettre : value=2
Pour autoriser CMD et les batch il faut mettre value=0
</Commentaire>
</Regle>

On peut le faire localement mais n'est-il pas intéressant de le proposer par défaut?

De ce que j'ai testé, les valeur "1" et "2" n'empeche en rien le lancement de .bat au netlogon.
Dans le même temps elles n'empechent pas non plus le lancement de .bat de puis le perso d'un élève, sous XP et sous W7...

Je pense donc qu'il faut se limiter à l'interdiction du CMD. Si vous avez une suggestion pour les .bat je suis preneur.

Révisions associées

Révision 2e4b42d6 (diff)
Ajouté par Klaas TJEBBES il y a plus de 8 ans

Ajout de la règle empêchant l'utilisation de cmd.exe et de .bat REF #11291

Révision 37c2f29d (diff)
Ajouté par Klaas TJEBBES il y a plus de 8 ans

Ajout de règles :
  • désactivation de l'UAC REF #507
  • modification du comportement de l'UAC REF #507
  • désactivation de la détection automatique des paramètres réseau IE REF #10707
  • interdire l'utilisation de cmd.exe et des .bat REF #11291

Révision 3e6b4825 (diff)
Ajouté par Klaas TJEBBES il y a plus de 8 ans

correction de la règle "interdire CMD.EXE" REF #11291

Historique

#1 Mis à jour par Joël Cuissinat il y a environ 9 ans

  • Tracker changé de Evolution à Tâche
  • Temps estimé mis à 2.00 h
  • Tâche parente mis à #10708
  • Restant à faire (heures) mis à 2.0

#2 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans

  • Tracker changé de Tâche à Proposition Scénario
  • Sujet changé de regle ESU pour limiter/interdire l'utilisation de "cmd.exe" à Pouvoir limiter/interdire l'utilisation de "cmd.exe"
  • Catégorie mis à Version mineure
  • Temps estimé 2.00 h supprimé
  • Tâche parente #10708 supprimé

#3 Mis à jour par Klaas TJEBBES il y a plus de 8 ans

  • Tracker changé de Proposition Scénario à Tâche
  • Temps estimé mis à 2.00 h
  • Tâche parente mis à #14167

#4 Mis à jour par Scrum Master il y a plus de 8 ans

  • Statut changé de Nouveau à Résolu

#5 Mis à jour par Scrum Master il y a plus de 8 ans

  • Description mis à jour (diff)
  • Assigné à mis à Klaas TJEBBES

#6 Mis à jour par Klaas TJEBBES il y a plus de 8 ans

  • % réalisé changé de 0 à 100

#7 Mis à jour par Joël Cuissinat il y a plus de 8 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 2.0 à 0.0

=> à valider #14534

#8 Mis à jour par Gilles Grandgérard il y a plus de 8 ans

OK pour W8.1, 10.1, 7

Formats disponibles : Atom PDF