none
Negar Permissão em HKEY_CURRENT_USER RRS feed

  • Pergunta

  • Bom dia,

    Alguém ja precisou negar permissão na chave de registro de HKEY_CURRENT_USER ?

    Eu estou tentando pelo subinacl mas sem sucesso, eu bloqueio para o usuário não conseguir setar o proxy, mas se ele tiver um .reg ele consegue alterar o proxy no caminho:

    HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS

    Obrigado.


    Rafael S. AMARAL


    quinta-feira, 23 de maio de 2013 16:22

Respostas

  • Boa Tarde Deveza, 


    Obrigado pela ajuda, mas dessa forma não atende por inteiro e sim por partes. Bloqueando o acesso ao registro, o usuário mesmo assim com um .vbs , .reg , .bat , .cmd , .vbe e etc..... consegue alterar a chave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Internet Settings 

    E aquela GPO que tem a configuração de esmaecer as opções de Proxy só mascara para o usuário, um usuário avançado consegue facilmente mudar.


    Para atender essa solução foram feitos os seguintes passos:

    1º - Gpo para bloquear as opções de alterar o Proxy (Obs: a imagem está aparecendo liberado, mas quando liberar o campo irá ficar esmaecido)






    2º -  GPO para bloquear o REGEDIT.EXE (Pelo fato de Current_User ter acesso total a essa chave (o que foi informado pelo Deveza) com isso o usuário alteraria manualmente a chave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Internet Settings - a chave "ProxyServer"



    3º - GPO para bloquear extensões do tipo: (Cuidado o usar essa GPO porque por default vêm várias extensões para bloquear, no meu caso removi todas e adicionei somente as quais eu quero)

    Caminho: User Configuration > Windows Settings > Security Settings > Software Restriction Policies > Designated File Types 

    .bat

    .reg

    .vbs

    .vbe

    .cmd


    Rafael S. AMARAL
    U. P. Mackenzie


    segunda-feira, 27 de maio de 2013 16:01

Todas as Respostas

  • Bom dia Rafael,

    Eu não sei se dar para bloquear devido essa chave se de acesso do perfil do usuário, mas vc pode fazer o controle por uma GPO..


    configuração de usuário / sistema / Não Executar aplicativos do Windows especificados

    habilite a Gpo e especifique o Regedit.exe.


    att, Aparecido Deveza

    sexta-feira, 24 de maio de 2013 14:33
  • Boa Tarde Deveza, 


    Obrigado pela ajuda, mas dessa forma não atende por inteiro e sim por partes. Bloqueando o acesso ao registro, o usuário mesmo assim com um .vbs , .reg , .bat , .cmd , .vbe e etc..... consegue alterar a chave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Internet Settings 

    E aquela GPO que tem a configuração de esmaecer as opções de Proxy só mascara para o usuário, um usuário avançado consegue facilmente mudar.


    Para atender essa solução foram feitos os seguintes passos:

    1º - Gpo para bloquear as opções de alterar o Proxy (Obs: a imagem está aparecendo liberado, mas quando liberar o campo irá ficar esmaecido)






    2º -  GPO para bloquear o REGEDIT.EXE (Pelo fato de Current_User ter acesso total a essa chave (o que foi informado pelo Deveza) com isso o usuário alteraria manualmente a chave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Internet Settings - a chave "ProxyServer"



    3º - GPO para bloquear extensões do tipo: (Cuidado o usar essa GPO porque por default vêm várias extensões para bloquear, no meu caso removi todas e adicionei somente as quais eu quero)

    Caminho: User Configuration > Windows Settings > Security Settings > Software Restriction Policies > Designated File Types 

    .bat

    .reg

    .vbs

    .vbe

    .cmd


    Rafael S. AMARAL
    U. P. Mackenzie


    segunda-feira, 27 de maio de 2013 16:01