Tâche #11291
Mis à jour par Scrum Master il y a plus de 8 ans
Une demande d'un collège sur des élèves qui arrivent à lancer "cmd.exe" via un .bat qui contient "cmd.exe", ceci autant sur XP que Win7 me semble assez facilement résolu par l'ajout de la regle suivante dans ESU.
Je l'ai créée via l'éditeur /home/esu/Console/ListeRegles.xml et cela donne :
<Regle classeobjet="REGISTRE" type="BOOLEEN">
<OS>254</OS>
<Intitule>désactiver cmd.exe</Intitule>
<Chemin>REG://HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System</Chemin>
<Variable nom="DisableCMD" type="DWORD">
<ValueOn>2</ValueOn>
<ValueOff>0</ValueOff>
</Variable>
<Commentaire>
desactiver CMD & les Batch : value=1
desactiver seulement CMD mais pas les batch il faut mettre : value=2
Pour autoriser CMD et les batch il faut mettre value=0
</Commentaire>
</Regle>
On peut le faire localement mais n'est-il pas intéressant de le proposer par défaut?
De ce que j'ai testé, les valeur "1" et "2" n'empeche en rien le lancement de .bat au netlogon.
Dans le même temps elles n'empechent pas non plus le lancement de .bat de puis le perso d'un élève, sous XP et sous W7...
Je pense donc qu'il faut se limiter à l'interdiction du CMD. Si vous avez une suggestion pour les .bat je suis preneur.