HijackThis - Analyse des lignes O7 - Regedit access restricted by Administrator

HijackThis - Analyse des lignes O7 - Restriction d'accès au programme Regedit

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Les lignes O7
Les lignes O7 d'une analyse HijackThis font ressortir la restriction d'accès au programme Regedit (l'éditeur standard de la base de registre) grâce à (à cause de) un paramètre introduit dans la base de registre par l'administrateur de la machine ou un cyber-criminel bénéficiant de vos droits administratifs :


Emplacements analysés
HKLM = ruche "HKEY_LOCAL_MACHINE" dans la base de registre (touche tous les utilisateurs)
HKCU = ruche "HKEY_CURRENT_USER" dans la base de registre (touche l'utilisateur courant)
Pour O7
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System


Usage / Signification
Pour O7
Ce réglage restrictif est courant en entreprise où il n'est pas question de permettre aux employés d'accéder aux bases de registre des machines du système d'information (ni même de modifier quoi que ce soit dans le système). Le fonctionnement en mode "Utilisateur limité" ("compte limité") permet, malgrès tout, l'accès à Regedit et la modification de certaines parties de la base de registre. L'administrateur du système peut alors interdire purement et simplement l'accès à Regedit.

Ceci se fait en inscrivant dans la clé HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ou HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System une valeur nommée DisableRegistryTools (de type DWord) et mettre cette valeur à 1. Si vous faites cela avec votre utilitaire Windows RegEdit, vous ne pourrez pas revenir en arrière puisque vous n'aurez plus le droit d'utiliser RegEdit pour restaurer votre droit de l'utiliser.



Toute tentative de lancer le programme RegEdit.exe, y compris en mode administrateur, échouera désormais. Changer le nom du fichier n'y changera rien.




Nota :
RegEdit se trouve (normalement) à c:\windows\regedit.exe
Sous Windows XP Pro SP2, il pèse 149 Ko (153 088 octets)
MD5 : dfd0dfd0fac3ed34fc4a187140238641
SHA1 : 585367c92a08c7829bf14250c050c78173ad6c09


Exemples en rouge = exemples d'hostilités à supprimer ("Fix checked")
Pour O2
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


Que faire ? Boite à outils HijackThis
Pour O7
Pour les éléments O7 :
RegEdit est l'éditeur standard de base de registre. C'est un composant de Windows. Sauf si vous-même ou l'administrateur du système avez volontairement rendu inaccessible l'éditeur de la base de registre et sauf si vous avez installé une alternative à l'éditeur de base de registre d'origine fourni par Microsoft, corrigez ("Fix checked") ce hijack. Ce verrouillage empêche une personne qui se présente physiquement devant l'ordinateur de modifier la base de registre. Ce peut être une mesure de sécurité mise volontairement en place sur une machine utilisée par plusieurs personnes mais ce peut être un hijack fait par un parasite d'un cyber-criminel pour vous empêcher de rétablir vos paramètres.

En tout état de cause, lorsque l'on utilise HijackThis, c'est pour déceler et réparer des problèmes, entre autres en utilisant RegEdit. Il est donc préférable d'avoir accès librement à Regedit. Corrigez cette ligne.

S'il n'y a pas moyen de réparer cette ligne :
  • Jusqu'à Windows 2000, vous pouvez utiliser un .reg (un simple fichier créé/édité avec le bloc-notes de Windows (notepad) et dont le suffixe est .reg au lieu de .txt). Créez un fichier nommé cequevousvoulez.reg avec, comme contenu, les 4 lignes suivantes puis exécutez-le (faites un double-clic dessus). A partir de Windows XP, ceci n'est plus possible si RegEdit est désactivé :

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=-

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=-

  • A partir de Windows XP, vous pouvez copier le code source suivant dans un fichier dont le suffixe est .vbs et l'exécuter (faites un double-clic dessus). Ce programme travaille en flip/flop (si regedit est activé, il le désactive, s'il est désactivé il l'active). WSH (Windows Scripting Host) doit être actif - si vous l'avez désactivé, réactivez-le avec le même outil que celui dont vous-vous êtes servi pour le désactiver (NoScript de Norton ou les outils AVG-Anti-Spyware > Outils > Divers ou XP-AntiSpy...) et n'oubliez pas de désactiver à nouveau WSH immédiatement après. Le code :

    'Activer/Désactiver les outils d'édition de la base de registre
    'Ce code peut être distribué gratuitement et modifié tant qu'il reste gratuit
    '© Doug Knox - rev 12/06/99 http://www.icpug.org.uk/national/features/030607fe.htm
    'Edité par PatheticCockroach - http://patheticcockroach.com
    'Edité par Pierre Pinard - http://assiste.com

    Option Explicit
    'Declaration des variables
    Dim WSHShell, rr, rr2, MyBox, val, val2, ttl, toggle
    Dim jobfunc, itemtype

    On Error Resume Next

    Set WSHShell = WScript.CreateObject("WScript.Shell")
    val = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
    val2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
    itemtype = "REG_DWORD"
    jobfunc = "Les outils d'édition de la base de registre sont actuellement "
    ttl = "Result"

    'Lesture des valeurs actuelles
    rr = WSHShell.RegRead (val)
    rr2 = WSHShell.RegRead (val2)

    toggle=1
    If (rr=1 or rr2=1) Then toggle=0

    If toggle = 1 Then
    WSHShell.RegWrite val, 1, itemtype
    WSHShell.RegWrite val2, 1, itemtype
    Mybox = MsgBox(jobfunc & "désactivés.", 4096, ttl)
    Else
    WSHShell.RegDelete val
    WSHShell.RegDelete val2
    Mybox = MsgBox(jobfunc & "activés.", 4096, ttl)
    End If

Lorsque RegEdit (l'éditeur standard de base de registre) est rendu inaccessible (par un parasite ou autre chose), et qu'il n'y a pas moyen de retrouver l'usage de celui-ci, il faut utiliser un autre éditeur de base de registre. SpyBot S&D ou Ad-Aware (et bien d'autres utilitaires de sécurité) fournissent des éditeurs de bases de registre alternatifs. Outre une meilleure convivialité (parfois), ces alternatives sont fournies car on suspecte Regedit de ne pas montrer toutes les hiérarchies de la base de registre (certaines restent cachées).





Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
10.03.2005 Révision
19.03.2005 Révision
28.04.2005 Révision
26.05.2006 Révision
19.07.2007 Up V4 + Révision 2.0.2 Trend
28.07.2007 à 12.08.2007 Ré-écriture complète du tutoriel HijackThis
 
   
Rédigé en écoutant :
Music