Project

General

Profile

Tâche #11291

Distribution EOLE - Scénario #14167: Mettre à jour les règles et paramétrages ESU

Pouvoir limiter/interdire l'utilisation de "cmd.exe"

Added by équipe eole Academie d'Orléans-Tours almost 8 years ago. Updated about 7 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Klaas TJEBBES
Target version:
Distribution EOLE - Sprint 2015 49-51 - Équipe MENESR
Start date:
04/17/2015
Due date:
% Done:

100%

Estimated time:
2.00 h
Remaining (hours):
0.0

Description

Une demande d'un collège sur des élèves qui arrivent à lancer "cmd.exe" via un .bat qui contient "cmd.exe", ceci autant sur XP que Win7 me semble assez facilement résolu par l'ajout de la regle suivante dans ESU.
Je l'ai créée via l'éditeur /home/esu/Console/ListeRegles.xml et cela donne :

<Regle classeobjet="REGISTRE" type="BOOLEEN">
<OS>254</OS>
<Intitule>désactiver cmd.exe</Intitule>
<Chemin>REG://HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System</Chemin>
<Variable nom="DisableCMD" type="DWORD">
<ValueOn>2</ValueOn>
<ValueOff>0</ValueOff>
</Variable>
<Commentaire>
desactiver CMD & les Batch : value=1
desactiver seulement CMD mais pas les batch il faut mettre : value=2
Pour autoriser CMD et les batch il faut mettre value=0
</Commentaire>
</Regle>

On peut le faire localement mais n'est-il pas intéressant de le proposer par défaut?

De ce que j'ai testé, les valeur "1" et "2" n'empeche en rien le lancement de .bat au netlogon.
Dans le même temps elles n'empechent pas non plus le lancement de .bat de puis le perso d'un élève, sous XP et sous W7...

Je pense donc qu'il faut se limiter à l'interdiction du CMD. Si vous avez une suggestion pour les .bat je suis preneur.

Associated revisions

Revision 2e4b42d6 (diff)
Added by Klaas TJEBBES over 7 years ago

Ajout de la règle empêchant l'utilisation de cmd.exe et de .bat REF #11291

Revision 37c2f29d (diff)
Added by Klaas TJEBBES over 7 years ago

Ajout de règles :
  • désactivation de l'UAC REF #507
  • modification du comportement de l'UAC REF #507
  • désactivation de la détection automatique des paramètres réseau IE REF #10707
  • interdire l'utilisation de cmd.exe et des .bat REF #11291

Revision 3e6b4825 (diff)
Added by Klaas TJEBBES over 7 years ago

correction de la règle "interdire CMD.EXE" REF #11291

History

#1 Updated by Joël Cuissinat almost 8 years ago

  • Tracker changed from Evolution to Tâche
  • Estimated time set to 2.00 h
  • Parent task set to #10708
  • Remaining (hours) set to 2.0

#2 Updated by Emmanuel GARETTE over 7 years ago

  • Tracker changed from Tâche to Proposition Scénario
  • Subject changed from regle ESU pour limiter/interdire l'utilisation de "cmd.exe" to Pouvoir limiter/interdire l'utilisation de "cmd.exe"
  • Category set to Version mineure
  • Estimated time deleted (2.00 h)
  • Parent task deleted (#10708)

#3 Updated by Klaas TJEBBES over 7 years ago

  • Tracker changed from Proposition Scénario to Tâche
  • Estimated time set to 2.00 h
  • Parent task set to #14167

#4 Updated by Scrum Master over 7 years ago

  • Status changed from Nouveau to Résolu

#5 Updated by Scrum Master over 7 years ago

  • Description updated (diff)
  • Assigned To set to Klaas TJEBBES

#6 Updated by Klaas TJEBBES over 7 years ago

  • % Done changed from 0 to 100

#7 Updated by Joël Cuissinat about 7 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 2.0 to 0.0

=> à valider #14534

#8 Updated by Gilles Grandgérard about 7 years ago

OK pour W8.1, 10.1, 7

Also available in: Atom PDF