locked
Bloquer run as RRS feed

  • Question

  • Bonjour à toutes et à tous,

    Notre école dispose de contrôleur de domaine 2008 R2 SP1. Chaque élève possède un compte utilisateur AD propre. Ce compte n'est pas administrateur sur les ordinateurs. Les ordinateurs ont Windows 7 x64.

    Pour les contrôles et les examens, nous fournissons des comptes AD particulier. En effet, ces comptes ont des accès très restreints afin d'éviter la triche. Nous avons également mis en place des GPO de "Software restriction policies" pour interdire l'accès à Internet Explorer, PowerShell, etc. Ces GPO s'appliquent au niveau utilisateur vu que c'est uniquement pour les comptes examens qu'il faut cette restriction.
    Cela fonctionne très bien, mais il est apparu un problème conséquent. Les élèves font un clic droit sur le programme qui est interdit et choississent "Exécuter en tant qu'autre utilisateur" et introduisent leur compte utilisateur personnel. Comme la GPO de restriction des programmes s'appliquent au niveau utilisateur, et bien la sécurité ne sert plus à rien. C'est vraiment catastrophique.

    La configuration de l'UAC est pareil sur tous les ordinateurs de notre école, à savoir ainsi :


    Nous souhaiterions masquer les choix "Exécuter en tant qu'autre utilisateur" et "Exécuter en tant qu'administrateur" par GPO, mais d'après nos recherches, cela n'est pas possible.

    Nous sommes vraiment embêtés et avons besoin de votre aide.

    D'avance, merci pour vos précieux conseils et belle journée.
    Cordialement

    mercredi 14 décembre 2011 08:08

Réponses

  • J'ai trouvé quelque chose de bien sur le net. J'ai créé une GPO qui ajoute cette clé. Cela cache "Exécuter en tant qu'administrateur". L'avantage, c'est que cette clé de registre ne s'applique qu'à l'utilisateur courant, c'est donc parfait.
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
    "HideRunAsVerb"=dword:00000001

    Mais cela me laisse toujours "Exécuter en tant qu'autre utilisateur". J'ai trouvé ceci sur ce site : http://www.sevenforums.com/tutorials/155511-run-different-user-add-remove-context-menu.html
    Cela fonctionne très bien, j'ai créé une GPO qui ajoute ces clés de registre et une autre qui les enlève. ça fonctionne bien. Mais ce qui serait encore mieux, c'est d'avoir une clé dans CURRENT_USER comme pour "Exécuter en tant qu'administrateur".

    Avez-vous une idée ?


    jeudi 15 décembre 2011 10:39

Toutes les réponses

  • Bonjour,

    Vous allez utiliser une stratégie de restriction logicielle pour bloquer le "runas.exe"

    Au niveau de GPO allez à Configuration de l'ordinateur/Paramètres Windows/paramètres de Securité/Stratégie de restriction logicielle

    Faites un clic droit sur le noeud et créer une nouvelle stratégie de restriction logicielle, faite un clic droit sur règle et selectionner le chemin de la règle. tapez le chemin d'accès pour le fichier "runas.exe" ( normalement c'est au niveau de C:\Windows\System32 ) et n'oublier pas de mettre la stratégie comme non autorisé.

    Bonne chance


    Best Regards Don't forget to mark it as answer if it helps
    mercredi 14 décembre 2011 09:49
    Auteur de réponse
  • Bonjour,

    Je vous remercie pour votre réponse. J'ai déjà essayé de bloquer le runas via une restriction logicielle au niveau utilisateur, mais cela n'a absolument rien changé. C'est l'UAC qui vient lorsqu'on choisit "Exécuter en tant que...", est-ce qu'il appelle réellement runas ? Il faut croire que non vu que ça n'a pas d'effet.

    Vous voyez, si j'exécute "run as" dans une console, il me met bienque c'est bloqué. Mais sur tous mes icônes je peux faire un clic droit et choisir "Exécuter en tant que..."

     

    Avez-vous d'autres idées ?

    Merci beaucoup.

    • Modifié user_007 mercredi 14 décembre 2011 11:58
    mercredi 14 décembre 2011 10:22
  • Bonsoir,

    Certes "Executer en tant que.." est affiché, mais est ce que son exécution se termine par un lancement de l'application en question?

    Merci


    Best Regards Don't forget to mark it as answer if it helps
    mercredi 14 décembre 2011 20:21
    Auteur de réponse
  • Bonjour,

    Oui l'application s'exécute.

    Il faudrait peut-être essayer de résoudre la problématique d'une autre manière. Comment bloquer certaines applications telles Internet Explorer, Firefox, PowerShell, ... au niveau utilisateurs. Car les examens et les contrôles peuvent s'effectuer sur n'importe quel ordinateur de l'école. Du coup, nous sommes "obligé" de faire des GPO au niveau utilisateur uniquement.

    Merci pour votre précieuse aide.

    Cordialement

    jeudi 15 décembre 2011 07:56
  • J'ai trouvé quelque chose de bien sur le net. J'ai créé une GPO qui ajoute cette clé. Cela cache "Exécuter en tant qu'administrateur". L'avantage, c'est que cette clé de registre ne s'applique qu'à l'utilisateur courant, c'est donc parfait.
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
    "HideRunAsVerb"=dword:00000001

    Mais cela me laisse toujours "Exécuter en tant qu'autre utilisateur". J'ai trouvé ceci sur ce site : http://www.sevenforums.com/tutorials/155511-run-different-user-add-remove-context-menu.html
    Cela fonctionne très bien, j'ai créé une GPO qui ajoute ces clés de registre et une autre qui les enlève. ça fonctionne bien. Mais ce qui serait encore mieux, c'est d'avoir une clé dans CURRENT_USER comme pour "Exécuter en tant qu'administrateur".

    Avez-vous une idée ?


    jeudi 15 décembre 2011 10:39