[XP] Toegang tot HKEY_CURRENT_USER blokkeren* - Windows clients

dinsdag 4 oktober 2005 10:55

Acties:

Verwijderd

Topicstarter

Ik heb een netwerk met gebruikers die aanmelden met een Mandatory profile. (een profiel die verwijdert word na het afmelden)

Nou heb ik via group policy's een aantal instellingen gewijzigt. Het probleem is echter dat gebruikers "third party" register programma's gebruiken om bepaalde keys te wijzigen. Dit ondanks het dicht is gezet via Group policy's.

Nou is dit allemaal niet zo'n ramp behalve dan dat je enkele opties die ik dicht gezet heb weer open kan zetten. Is er een manier om specefieke "HKEY_CURRENT_USER" keys dicht te zetten ?

Als ik een profiel maak met aparte rechten op de keys dan worden deze niet meegenomen en als ik in grouppolicy's kijk zijn er geen opties om HKEY_CURRENT_USER aan te passen..

Iemand enig idee ?

dinsdag 4 oktober 2005 17:41

Acties:

elevator

Officieel moto fan :)

Je zou kunnen proberen om het profiel te laden ([search=load hive]) en vervolgens de rechten expliciet op 'Read' te zetten ipv 'Change' - maar ik heb geen idee ofdat dat werkelijk werkt

dinsdag 4 oktober 2005 17:45

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Het blokkeren van HKCU zal je niet helpen, in tegendeel: zonder schrijfrechten op HKCU zal XP niet (goed) functioneren. XP moet nu eenmaal her en der ik HKCU kunnen schrijven.
Wat je wel kan doen is de betreffende subkeys afschermen in het mandatory profile, door daar de schrijf rechten voor gewone gebruikers weg te halen. Aangezien alle gebruikers dit profile gebruiken hebben ze geen rechten meer en kunnen de keys niet wijzigen.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

dinsdag 4 oktober 2005 17:50

Acties:

elevator

Officieel moto fan :)

Heb je dat wel eens getest? Ik vraag het me namelijk af omdat als je een userprofile copy doet, hij in feite je ntuser.dat copieert met de permissions erin. Bij het laden van het profiel kan ik me dus voorstellen dat een user overal permissie op gegrant krijgt, maar ik het heb nog niet kunnen testen helaas.

donderdag 6 oktober 2005 20:13

Acties:

Verwijderd

Topicstarter

Wat ik dus wil is een subkey blokkeren NIET ALLES DUS!!! Ohja mandatory verwijdert naar afloop alle wijzigingen al.

Het gaat erom dat gebruikers dus niet gaan klooien met achtergronden en internet explorer settings... Enkele dingen zoals uitgeschakelde startbuttons en desktop iconen zijn op deze manier ook weer te activeren. Doordat deze opties weer aangezet worden kunnen ze ineens op plekken komen wat niet de bedoeling is. Bijvoorbeeld ik heb enkele programma's draaien die perse schrijfrechten nodig hebben op een aantal bestanden. Deze kunnen hierdoor benadert worden en daardoor ook verwijderd worden.

Als ik een nieuw profiel maak door de NTUSER.DAT te gebruiken dan worden de register instellingen niet meegenomen. De functie van 2000/XP gebruiken om profielen (die voor iedereen toegankelijk moet zijn) te kopieeren dan word de rechten niet volledig meegenomen.

[ Voor 10% gewijzigd door Verwijderd op 06-10-2005 20:15 ]

donderdag 6 oktober 2005 20:57

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

En heb je mijn suggestie dan al geprobeerd?

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

vrijdag 7 oktober 2005 08:31

Acties:

Verwijderd

Topicstarter

Maakt niets uit ... Had ik al geschreven toch ?

vrijdag 7 oktober 2005 11:52

Acties:

Verwijderd

soms moet je niet alles technisch afschermen, maar simpelweg met sancties. De mensen die zich schuldig maken naar hun manager sturen heeft al verrassende effecten

.

maar wees eens wat specifieker, wat wil je exact bereiken en wat heb je al gedaan?

zaterdag 8 oktober 2005 22:02

Acties:

Verwijderd

Topicstarter

Ik wil dus bepaalde keys van HKEY_CURRENT_USER kunnen blokkeren...

Wat ik al gedaan heb:

Group policy's afgespeurd naar zulke instellingen. Deze zijn er niet.
Profiel proberen te maken waar ik in het profiel bepaalde keys dichtzet. Dit werkt helaas niet, als je het profiel wegschrijft worden de rechten niet meegenomen.

Kortom het lukt me prima om op alle keys rechten te zetten behalve op hkey_current_user. Hierdoor is allerlei ongein mogelijk is.

Sancties kan wel helpen maar met 1200 leerlingen, +-200 pc's en maar 1 beheerder (ik dus) word de pak kans een stuk kleiner natuurlijk

zaterdag 8 oktober 2005 23:39

Acties:

elevator

Officieel moto fan :)

Maar heb je het rechten zetten ook al geprobeerd is om een registry via 'Load hive' te laden en dan de rechten goed te zetten?

zondag 9 oktober 2005 10:31

Acties:

StevenK

De oplossing ligt imho toch echt in het zetten van de juiste rechten op de delen van de registry die je wilt blokkeren.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

maandag 10 oktober 2005 09:08

Acties:

mutsje

Certified Prutser

Verwijderd schreef op zaterdag 08 oktober 2005 @ 22:02:
Ik wil dus bepaalde keys van HKEY_CURRENT_USER kunnen blokkeren...

Wat ik al gedaan heb:

Group policy's afgespeurd naar zulke instellingen. Deze zijn er niet.
Profiel proberen te maken waar ik in het profiel bepaalde keys dichtzet. Dit werkt helaas niet, als je het profiel wegschrijft worden de rechten niet meegenomen.

Kortom het lukt me prima om op alle keys rechten te zetten behalve op hkey_current_user. Hierdoor is allerlei ongein mogelijk is.

Sancties kan wel helpen maar met 1200 leerlingen, +-200 pc's en maar 1 beheerder (ik dus) word de pak kans een stuk kleiner natuurlijk

Wat dacht je van ze A: geen local administrator maken

B: een goede set aan policies implementeren dan scherm je al heel veel af. Je kunt bijvoorbeeld een policie maken die verbied dat men registry tools als regedt32, regedit etc kan opstarten. Nu is hier nog steeds om heen te werken maar dan moet je wel weten wat je moet doen om in een registry te kunnen schrijven. En je moet de expliciete keys weten.

maandag 10 oktober 2005 09:17

Acties:

StevenK

mutsje schreef op maandag 10 oktober 2005 @ 09:08:
[...]

Wat dacht je van ze A: geen local administrator maken B: een goede set aan policies implementeren dan scherm je al heel veel af. Je kunt bijvoorbeeld een policie maken die verbied dat men registry tools als regedt32, regedit etc kan opstarten. Nu is hier nog steeds om heen te werken maar dan moet je wel weten wat je moet doen om in een registry te kunnen schrijven. En je moet de expliciete keys weten.

Of je leest het hele topic: het gaat personen die juist die registry-editing beperking weten te omzeilen.

local admin heeft niks met het bewerken van de HKCU te maken

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

maandag 10 oktober 2005 09:39

Acties:

mutsje

Certified Prutser

StevenK schreef op maandag 10 oktober 2005 @ 09:17:
[...]

Of je leest het hele topic: het gaat personen die juist die registry-editing beperking weten te omzeilen.

local admin heeft niks met het bewerken van de HKCU te maken

tja je ontneemt ze gewoon registry editing rechten en klaar

reg*.* in restrictions. of zet daar op de executables gewoon rechten op. als het domain op 2003 draait is topic starter helemaal klaar want dan heb software restriction policies.
Maar goed met rechten gaan klooien op een reghive heeft behoorlijk gevolgen. Dan moet TS regmonitor gaan gebruiken etc en veel tijd erin steken om uit te zoeken op welke subfolders wel rechten nodig zijn.

maandag 10 oktober 2005 13:33

Acties:

elevator

Officieel moto fan :)

(Lang) niet alle registry editors houden zich aan de registry prohibit restrictie, dus met puur registry editten beperken heeft niet zo veel zin

maandag 10 oktober 2005 21:06

Acties:

Verwijderd

Topicstarter

Het gaat dus om thirdparty registry tools ... Deze tools houden zich niet aan group policy's. Nou kan ik dat programma dicht gaan zetten maar dan downloaden ze gewoon een ander programma..

Software zet je trouwens niet even dicht. Bovendien is het echt noodzakelijk dat ze scripts kunnen draaien en zelfgemaakte executable kunnen draaien.

Wat bedoel je precies met loadhive ?

maandag 10 oktober 2005 22:06

Acties:

StevenK

Verwijderd schreef op maandag 10 oktober 2005 @ 21:06:
Het gaat dus om thirdparty registry tools ... Deze tools houden zich niet aan group policy's. Nou kan ik dat programma dicht gaan zetten maar dan downloaden ze gewoon een ander programma..

Software zet je trouwens niet even dicht. Bovendien is het echt noodzakelijk dat ze scripts kunnen draaien en zelfgemaakte executable kunnen draaien.

Wat bedoel je precies met loadhive ?

Je weet toch waar de registry entries staan die ze wijzigen ? Dan moet je zorgen dat je op die stukken in de registry de rechten dichttimmert.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

dinsdag 11 oktober 2005 08:20

Acties:

m3gA

Waarom licht je niet de manager van deze mensen in ? Je kunt de boel blijven dichttimmeren maar ze vinden wel weer wat anders.

dinsdag 11 oktober 2005 08:43

Acties:

Twinkil

CTRL-A CTRL-Q

Waar ik aan denk is om de settings waar de ettertjes niet bij mogen dicht te zetten in de registry. Omdat je zei dat je dit niet in het profiel kon opslaan kan je het proberen door dit in het loginscript te regelen. Een commandline registry tool is te vinden hier. Ik ken deze niet ofzo... maar doet deze het niet, dan zullen er nog wel andere zijn. Je zou het anders nog met wise kunnen doen!

Laat even weten of dit gewerkt heeft...

edit:
Je kan ook nog alle settings die je wilt importeren (de settings die de leerlingen telkens ongedaan maken) met enige regelmaat opnieuw importeren. Bv elke 5 minuten. Uiteindelijk zullen ze er schijt ziek van worden dat hun "ding" ineens niet meer zo goed werkt. Bijvoorbeeld met "regedit /s locatiescript"

[ Voor 29% gewijzigd door Twinkil op 11-10-2005 08:51 ]

dinsdag 11 oktober 2005 09:05

Acties:

Verwijderd

wat ze bij ons op school wel gedaan hebben, is het volgende:

Iedereen werkt ten eerste via roaming profiles (daar ga ik vanuit ivm netwerkshares en mn eigen data die behouden blijft en te benaderen is via andere pc's)

groupspolicies zijn zo ingesteld dat niemand ook maar iets kan installeren of opslaan..C: schijf is compleet geblokkeerd, alleen applicaties die geinstalleerd zijn zijn te laden..

op deze manier kan er bijna niets gedraaid worden (buiten dan de al voorgeinstalleerde proggies als office, iexplorer etc.)

dan alsnog is er nog wel een omweg te vinden (ftp anyone?) maar dat zou wel heel erg ver gaan zouden ze dat soort dingen proberen

dinsdag 11 oktober 2005 15:43

Acties:

Verwijderd

Topicstarter

Dat heb ik ook ... C schijf is volledig dicht maar het moet mogelijk zijn om zelfgemaakte scripts en executables te draaien. Dit omdat ze hier ICT lessen geven. Hierdoor is het ook mogelijk om thirdpary register tools te gebruiken. Ondanks dat dit uit staat in de group policy's.

Ik vind het trouwens achterlijk van microsoft dat het mogelijk is om in HKCU grouppolicy rechten aan te passen

Via het profiel lukt het dus niet en via mijn vbs aanmeld script hebben ze geen rechten om rechten te zetten

en als het wel kon dan zetten ze dit natuurlijk gewoon weer open

Je weet toch waar de registry entries staan die ze wijzigen ? Dan moet je zorgen dat je op die stukken in de registry de rechten dichttimmert.

Ja dat snap ik .. Dit lukt dus niet daarom vraag ik het. Dit lukt me op iedere key maar niet op HKCU. Deze staat namelijk in het profiel. Rechten hierop zetten worden niet meegenomen in het profiel.

Waarom licht je niet de manager van deze mensen in ? Je kunt de boel blijven dichttimmeren maar ze vinden wel weer wat anders.

Het probleem is dat je niet weet wie het doen.. Het is geen ramp. Netwerk is goed dichtgetimmerd. Het is alleen probleem dat mensen dus lokale rechten gaan aanpassen en zo dingen kunnen doen wat irritant is. Bovendien is het natuurlijk het gevecht van admin en gebruiker. Deze wil ik natuurlijk winnen

[ Voor 10% gewijzigd door Verwijderd op 11-10-2005 16:10 ]

dinsdag 11 oktober 2005 16:59

Acties:

elevator

Officieel moto fan :)

Het is niet zo zeer achterlijk - HKCU is gewoon van de user (net zoals My Documents van de user is) dus dat je daar geen beperkende rechten op kan zetten is niet zo heel gek

donderdag 13 oktober 2005 13:02

Acties:

Verwijderd

Topicstarter

Ja ok maar het is wel achterlijk dat je als User dus grouppolicy rechten kunt aanpassen.

donderdag 13 oktober 2005 13:25

Acties:

elevator

Officieel moto fan :)

Dat kan je als user niet tenzij je admin bent? Je hebt als user zijnde geen rechten op de HKCU\Software\Policies key?

donderdag 13 oktober 2005 13:28

Acties:

StevenK

elevator schreef op dinsdag 11 oktober 2005 @ 16:59:
Het is niet zo zeer achterlijk - HKCU is gewoon van de user (net zoals My Documents van de user is) dus dat je daar geen beperkende rechten op kan zetten is niet zo heel gek

Hoezo kun je op HKCU geen beperkende rechten zetten ? Heb 't net geprobeerd; ik kan in de HKCU key's dichtzetten. Dat uiteraard niet vanuit je GPO ofzo, maar zul je in je mandatory of default user profile moeten doen.

[ Voor 13% gewijzigd door StevenK op 13-10-2005 13:28 ]

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 13 oktober 2005 13:31

Acties:

elevator

Officieel moto fan :)

Ik reageerde op zijn stukje dat het achterlijk was dat dat via een GPO niet kan - ovreigens ben ik nog steeds benieuwd naar wat ik hier zei - ik heb het nog niet kunnen testen namelijk

donderdag 13 oktober 2005 13:52

Acties:

StevenK

elevator schreef op dinsdag 04 oktober 2005 @ 17:50:
Heb je dat wel eens getest? Ik vraag het me namelijk af omdat als je een userprofile copy doet, hij in feite je ntuser.dat copieert met de permissions erin.

Daarom zit daar ook de mogelijkheid de rechten aan een ander account toe te wijzen; wanneer je daar een ander account opgeeft, worden de rechten op de HKCU gereset naar *dat* account.

Bij het laden van het profiel kan ik me dus voorstellen dat een user overal permissie op gegrant krijgt, maar ik het heb nog niet kunnen testen helaas.

Nope; bij het laden van het profiel verandert er niets aan de rechten.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 13 oktober 2005 13:53

Acties:

elevator

Officieel moto fan :)

StevenK schreef op donderdag 13 oktober 2005 @ 13:52:
Daarom zit daar ook de mogelijkheid de rechten aan een ander account toe te wijzen; wanneer je daar een ander account opgeeft, worden de rechten op de HKCU gereset naar *dat* account.

Dat snap en weet ik - maar als je die permissies dus niet reset - krijg je als user alsnog gewoon dat profiel geladen als je naar 'Default user' copieert, en dat is het vreemde eraan

donderdag 13 oktober 2005 13:56

Acties:

StevenK

elevator schreef op donderdag 13 oktober 2005 @ 13:53:
[...]

Dat snap en weet ik - maar als je die permissies dus niet reset - krijg je als user alsnog gewoon dat profiel geladen als je naar 'Default user' copieert, en dat is het vreemde eraan

Oh, k*t, daar heb je gelijk in: maar die rechten worden niet gezet bij het inloggen, maar bij het aanmaken van het userprofile.

Dus mijn opmerking van daarstraks, streep daar het stukje default user maar door: je kunt alleen maar HKCU rechten zetten wanneer je mandatory profiles maakt *of* je zelf voor elke gebruiker een profiel maakt, waar je dan eerst zelf op aanlogt en de rechten aanpast.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 13 oktober 2005 14:03

Acties:

elevator

Officieel moto fan :)

StevenK schreef op donderdag 13 oktober 2005 @ 13:56:
Dus mijn opmerking van daarstraks, streep daar het stukje default user maar door: je kunt alleen maar HKCU rechten zetten wanneer je mandatory profiles maakt *of* je zelf voor elke gebruiker een profiel maakt, waar je dan eerst zelf op aanlogt en de rechten aanpast.

Daarom vroeg ik ook of dit geen oplossing was, maar als ik het topic goed begrijp dan is dat ook geen oplossing

donderdag 13 oktober 2005 14:32

Acties:

StevenK

elevator schreef op donderdag 13 oktober 2005 @ 14:03:
[...]

Daarom vroeg ik ook of dit geen oplossing was, maar als ik het topic goed begrijp dan is dat ook geen oplossing

Je bedoelt met bijvoorbeeld http://homepages.cae.wisc.edu/~micro/regperm/ ?

Probleem is dat je daarmee niet de owner kunt veranderen en daardoor kan de gebruiker nog steeds de rechten weer terugzetten.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 13 oktober 2005 14:51

Acties:

elevator

Officieel moto fan :)

Nee ik bedoel meer dat je in REGEDIT de specifieke user hive laad vanuit een administrator account en daarmee dan de owner kan veranderen.

donderdag 13 oktober 2005 14:59

Acties:

Darth Malak

Sith Lord

Open maar eens een MMC en voeg de security templates toe.. Ga daar maar eens grasduinen.. Wedden dat mogelijk is wat jij wil!