PDA

Visualizza versione completa : Impedire l'uso di regedit a chi non è amministratore.


mandrak
04-04-2009, 17.44.08
Ciao a tutti.
Su Xp professional, è possibile impedire a chi non è amministratore
di accedere al registro di configurazione tramite regedit ?
L'accesso al registro vorrei che fosse consentito solamente al
sistema, (all'avvio il server del dominio, invia degli script che agiscono
sul registro e quindi deve poterlo fare), e all'amministratore della macchina.
Ho una serie di PC che accedono ad internet, ma possono entrare
su una serie limitata di siti, tutti gli altri sono, "dovrebbero", essere bloccati ed infatti è in funzione il proxy per fare ciò.
Ultimamente mi sono accorto che qualcuno riesce ad aggirare il proxy
e andare dove vuole.
Probabilmente costui accede al registro, che anche da utente è consentito.
grazie.

Aquax
04-04-2009, 18.20.31
Start>Esegui e fai gpedit.msc

Poi vai su Configurazione Utente>Modelli Amministrativi>Sistema e attivi la voce "Impedisci accesso agli strumenti di modifica del Registro..."

mandrak
06-04-2009, 12.53.04
Ho provato, ma impedisce l'uso di regedit anche all'utente "administrator",
che invece deve poter lavorare.
L'ideale sarebbe all'accesso delgli utenti, partisse uno script che blocca
il regedit e un'altro script che al Logoff lo sbloccasse tenendo conto che
al logon se è l'amministratore ad accedere il regedit deve essere accessibile.

Aquax
06-04-2009, 13.20.41
Allora prova tramite il registro, andando alla chiave
LOCALMACHINE>Software>Microsoft>Windows>CurrentVersion>Policies>System

e metti a 1 il : DisableRegistryTools :mm:

AMIGA
09-04-2009, 00.13.35
Ho provato, ma impedisce l'uso di regedit anche all'utente "administrator",
che invece deve poter lavorare.
L'ideale sarebbe all'accesso delgli utenti, partisse uno script che blocca
il regedit e un'altro script che al Logoff lo sbloccasse tenendo conto che
al logon se è l'amministratore ad accedere il regedit deve essere accessibile.

Se l'utente è limitato apre il Regedit,ma non può modificare niente,perchè non gli lascia salvare niente.
Quindi se sono utenti limitati,non è così che baypassano il proxy,ma in altro modo,se il proxy è impostato in un server locale loro utilizzano dei siti o altri sistemi per aggirarlo,ti allego un articolo dove cita i sistemi più usati:

http://www.gennarovarriale.it/2007/09/12/come-accedere-a-siti-web-bloccati/

Se vuoi bloccare il regedit ti allego la chiave che blocca solo l'utente,devi lanciare la chiave dall'utente che vuoi bloccare,naturalmente per questa operazione devi farlo provvisoriamente admin,altrimenti la chiave non si unisce al registro.


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000001



Ricordati che se usano pendriver con la tecnologia U3,potrebbero lanciare da lì una sorta di regedit e bypassare la sicurezza del sistema,anche con un CD live possono avviare il PC e cambiare il registro,l'unica soluzione è disattivare CD e porte USB dal Bios sotto password.

Esistono chiavi o programmi,per bloccare solo le pendriver e il lettori CD,lasciando funzionare la porta USB per le altre periferiche,però basta un lanciare un antimalware,per togliere le restrizioni (le modifiche al registro sono viste come causa d'infezione).

mandrak
09-04-2009, 18.09.39
Grazie.
Proverò la chiave di registro e vi farò sapere.