Home Search Contact New
[ Up | Back | Next | Home | Search | Contact | New | EdelWeb ]

Durcissement Windows 2000 - Contrôleur de Domaine (DC)

Mécanismes de démarrage d'applications
Méthodes
Utilisation de clés de démarrage
Utilisation des fichiers et répertoires de démarrage.
Détournement du shell
Mesures de protections:
restriction de permission d’accès (ACL)
surveillance particulière (audit, host IDS)
Clés
HKLM\windows\ccs\policies\explorer\run q270035
HKEY_USER\<EVERYONE>\Software\Microsoft\Windows\CurrentVersion
      Vérifier que les sous-clés
      Run, RunOnce, Uninstall (et ses sous-clés)
Disposent des permissions suivantes:Administrators, System: Full Control et Interactive: Read Only
Fichiers de démarrage
%SystemDrive%\Autoexec.bat à la racine (par défaut c: )
%SystemDrive%\Config.sys
%SYSTEMROOT%\wininit.ini
%SYSTEMROOT%\winstart.bat
%SYSTEMROOT%\Win.ini
%SYSTEMROOT%\System.ini

%WinDir%\System32\ AUTOEXEC.NT
%WinDir%\System32\ CONFIG.NT
 possèdent les permissions suivantes:
Administrators, System: Full Control
Authenticated User: Read Only
Détournement du shell
HKEY_USER\<EVERYONE>\Software\Microsoft\Windows\CurrentVersion\Explorer\
Les sous-clés: User Shell Folders et Shell Folders
possède les permissions suivantes:
Administrators, System: Full Control
Authenticated User: Read Only
HKEY_USER\<EVERYONE>\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders et User Shell Folders
La valeur : Startup = "%systemdrive%\Documents and Settings\Default User\Start Menu\Programs\Startup " pour .DEFAULT
Et Startup = "%userprofile%\Start Menu\Programs\Startup " pour les administrateurs.
Vérifier (touches ctrl + F) qu'il n'y a aucune valeur NeverShowExt dans la base de registre.
HKEY_LOCAL_MACHINE\Software\CLASSES\<EXT>\shell\open\command @="\"%1\" %*"
où <EXT>  prend les valeurs: batfile, comfile, exefile, htafile, piffile


webmaster@edelweb.fr  Copyright EdelWeb (C) 1995, 1998