politique de restriction des applications(Software Restriction Pol

Bonjour,
je suis actuellement en licence professionnelle d'informatique et je cherche
Ã* savoir comment fonctionnent (en détail) sous Windows XP et Vista les
politiques de restriction des applications.

J'ai vu avec quelques recherches que sous Windows XP, il existe un logiciel
(Dropmyrights) qui Ã* l'air en fait de modifier le SID (Security Identifier)
de l'administrateur et de lui restreindre ses droits lorsqu'il lancerait
l'application qu'il a sélectionnée.
Je voudrais savoir plus en détail comment celÃ* fonctionne sous Windows XP.

Sous Windows Vista, cela a l'air d'être un peu le contraire, nous avons un
administrateur qui en fait va se voir attribuer certains droits d'accès Ã* la
demande, on lui donne donc des privilèges, mais comment est-ce que ça
fonctionne? Modification de SIDS avec une analyse du jeton de processus? Je
ne sais pas...

Si quelqu'un peut me renseigner sur ces deux points. Je lui en serai très
reconnaissant.

Je vous remercie pour votre réponse.

"Maverick31" <Maverick31@discussions.microsoft.com> a écrit dans le
message de news: CF4E1639-24FA-45D9-96B0-91C32F482107@microsoft.com...
> Bonjour,
> je suis actuellement en licence professionnelle d'informatique et je
> cherche
> Ã* savoir comment fonctionnent (en détail) sous Windows XP et Vista les
> politiques de restriction des applications.

Bonjour,

Un seul post (et non pas 3 sur le groupe XP) et surtout un suivi vers un
seul groupe pour les réponses aurait peut être été mieux, ne croyez vous
pas ?

Ne serait-ce que pour éviter la dispersion des réponses !

LÃ* cela s'apparente Ã* du SPAM, de la pollution, 3 messages dans 4
groupes sans suivi, cela fait 12 messages !!!!
Sur la hiérarchie Usenet.fr Vous seriez passible d'annulation de ces
messages !

Serge

Je n'ai pas vu au départ que j'avais déjÃ* posté comme ça après quand j'ai vu
mon erreur, je n'ai pas trouvé comment supprimer les messages (sinon je
l'aurai fait.) C'est la première fois que je me sers des newsgroup comme ça.
Cela n'a pas été fait de manière intentionnelle.. C'est juste que j'ai
vraiment été un boulet sur le coup... J'en suis désolé, si il y a un moyen de
rectifier, je serai ravi de le faire, sinon si des
administrateurs/modérateurs peuvent le faire il n'y a pas de problèmes.

Encore une fois, je suis désolé...

> Bonjour,
>
> Un seul post (et non pas 3 sur le groupe XP) et surtout un suivi vers un
> seul groupe pour les réponses aurait peut être été mieux, ne croyez vous
> pas ?
>
> Ne serait-ce que pour éviter la dispersion des réponses !
>
> LÃ* cela s'apparente Ã* du SPAM, de la pollution, 3 messages dans 4
> groupes sans suivi, cela fait 12 messages !!!!
> Sur la hiérarchie Usenet.fr Vous seriez passible d'annulation de ces
> messages !
>
> Serge
>
>

"Maverick31" <Maverick31@discussions.microsoft.com> a écrit dans le message
de news:CF4E1639-24FA-45D9-96B0-91C32F482107@microsoft.com...
> Bonjour,
> je suis actuellement en licence professionnelle d'informatique et je
> cherche
> Ã* savoir comment fonctionnent (en détail) sous Windows XP et Vista les
> politiques de restriction des applications.
>
> J'ai vu avec quelques recherches que sous Windows XP, il existe un
> logiciel
> (Dropmyrights) qui Ã* l'air en fait de modifier le SID (Security
> Identifier)
NON!
Le SID n'est JAMAIS modifié !
La seule façon de changer de SID, c'est de ... réouvrir une session sous un
autre compte !
Je fais bien sûr abstraction de l'outil de Mark RUSSINOVICH "NewSID" qui a
pour but de remplacer la racine de tous les SID d'une machine dans le cas
d'un clonage p.ex.

> de l'administrateur et de lui restreindre ses droits lorsqu'il lancerait
> l'application qu'il a sélectionnée.
> Je voudrais savoir plus en détail comment celÃ* fonctionne sous Windows XP.

Il y a abaissement des "privilèges", c'est tout !
Avec utilisation des fonctions "OpenProcessToken","AdjustTokenPrivileges", "
LookupAccountSid",... (de la dll "ADVAPI.DLL")

> Sous Windows Vista, cela a l'air d'être un peu le contraire, nous avons un
> administrateur qui en fait va se voir attribuer certains droits d'accès Ã*
> la
> demande, on lui donne donc des privilèges, mais comment est-ce que ça
> fonctionne?

Sous XP et avant, par défaut un compte administrateur a tous les privilèges
ou presque
(il faut éventuellement lui attribuer "SeBackupPrivilege",
"SeRestorePrivilege", "SeTcbPrivilege","SeDebugPrivilege")

Sous VISTA, hormis le compte Administrateur (SID se terminant par 500), tous
les autres comptes ont moins de privilèges.
(mais peuvent se les attribuer)

A l'aide d'un outil que je viens de compiler ("GetPriv.exe"
http://cjoint.com/?mpr71UGaN8) j'ai comparé les privilèges que j'ai sous XP
et sous VISTA (avec le même compte appartenant aux admins)

(j'ai listé ci-dessous uniquement les différences)

LUID 6 SeMachineAccountPrivilege
Désactivé sous XP
Absent sous VISTA
LUID 7 SeTcbPrivilege
Désactivé sous XP
Absent sous VISTA
LUID 10 SeLoadDriverPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 17 SeBackupPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 18 SeRestorePrivilege
Activé sous XP
Désactivé sous VISTA
LUID 25 SeUndockPrivilege
Activé sous XP
Désactivé sous VISTA
LUID 33 SeIncreaseWorkingSetPrivilege
Absent sous XP
Désactivé sous VISTA
LUID 34 SeTimeZonePrivilege
Absent sous XP
Désactivé sous VISTA
LUID 35 SeCreateSymbolicLinkPrivilege
Absent sous XP
Désactivé sous VISTA


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

> ("GetPriv.exe" http://cjoint.com/?mpr71UGaN8)

Problème (sous XP) en lançant GetPriv.exe :
"Cette application n'a pas pu démarrer car rtl100.bpl est introuvable.
La réinstallation de cette application peut corriger ce problème."

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les vecteurs d'infection www.libellules.ch/dangers_logiciels.php

Re-bonjour/bonsoir
Je vous remercie pour votre réponse. Mais une réponse peuvant amener Ã* une
autre question, je vais employer la facilité et vous poser une autre
question, si vous me permettez d'abuser de votre gentillesse et de votre
temps ^_^.

DéjÃ*, serait-il possible de savoir comment fonctionne votre logiciel et
pourrais-je l'utiliser pour mon dossier?
Ensuite, Y-a-t-il un moyen de savoir Ã* quoi correspondent chaque fonctions
pour que je puisse affiner mes recherches. (Dans tous les cas, je vais faire
des recherches dessus ^_^, ma question est un peu bête).

Je vous remercie dans tous les cas pour l'aide que vous venez de m'apporter.


"Jean-Claude BELLAMY" a écrit :

> "Maverick31" <Maverick31@discussions.microsoft.com> a écrit dans le message
> de news:CF4E1639-24FA-45D9-96B0-91C32F482107@microsoft.com...
> > Bonjour,
> > je suis actuellement en licence professionnelle d'informatique et je
> > cherche
> > Ã* savoir comment fonctionnent (en détail) sous Windows XP et Vista les
> > politiques de restriction des applications.
> >
> > J'ai vu avec quelques recherches que sous Windows XP, il existe un
> > logiciel
> > (Dropmyrights) qui Ã* l'air en fait de modifier le SID (Security
> > Identifier)
> NON!
> Le SID n'est JAMAIS modifié !
> La seule façon de changer de SID, c'est de ... réouvrir une session sous un
> autre compte !
> Je fais bien sûr abstraction de l'outil de Mark RUSSINOVICH "NewSID" qui a
> pour but de remplacer la racine de tous les SID d'une machine dans le cas
> d'un clonage p.ex.
>
> > de l'administrateur et de lui restreindre ses droits lorsqu'il lancerait
> > l'application qu'il a sélectionnée.
> > Je voudrais savoir plus en détail comment celÃ* fonctionne sous Windows XP.
>
> Il y a abaissement des "privilèges", c'est tout !
> Avec utilisation des fonctions "OpenProcessToken","AdjustTokenPrivileges", "
> LookupAccountSid",... (de la dll "ADVAPI.DLL")
>
> > Sous Windows Vista, cela a l'air d'être un peu le contraire, nous avons un
> > administrateur qui en fait va se voir attribuer certains droits d'accès Ã*
> > la
> > demande, on lui donne donc des privilèges, mais comment est-ce que ça
> > fonctionne?
>
> Sous XP et avant, par défaut un compte administrateur a tous les privilèges
> ou presque
> (il faut éventuellement lui attribuer "SeBackupPrivilege",
> "SeRestorePrivilege", "SeTcbPrivilege","SeDebugPrivilege")
>
> Sous VISTA, hormis le compte Administrateur (SID se terminant par 500), tous
> les autres comptes ont moins de privilèges.
> (mais peuvent se les attribuer)
>
> A l'aide d'un outil que je viens de compiler ("GetPriv.exe"
> http://cjoint.com/?mpr71UGaN8) j'ai comparé les privilèges que j'ai sous XP
> et sous VISTA (avec le même compte appartenant aux admins)
>
> (j'ai listé ci-dessous uniquement les différences)
>
> LUID 6 SeMachineAccountPrivilege
> Désactivé sous XP
> Absent sous VISTA
> LUID 7 SeTcbPrivilege
> Désactivé sous XP
> Absent sous VISTA
> LUID 10 SeLoadDriverPrivilege
> Activé sous XP
> Désactivé sous VISTA
> LUID 17 SeBackupPrivilege
> Activé sous XP
> Désactivé sous VISTA
> LUID 18 SeRestorePrivilege
> Activé sous XP
> Désactivé sous VISTA
> LUID 25 SeUndockPrivilege
> Activé sous XP
> Désactivé sous VISTA
> LUID 33 SeIncreaseWorkingSetPrivilege
> Absent sous XP
> Désactivé sous VISTA
> LUID 34 SeTimeZonePrivilege
> Absent sous XP
> Désactivé sous VISTA
> LUID 35 SeCreateSymbolicLinkPrivilege
> Absent sous XP
> Désactivé sous VISTA
>
>
> --
> May the Force be with You!
> La Connaissance s'accroît quand on la partage
> ----------------------------------------------------------
> Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
>

Bonsoir !

> Je fais bien sûr abstraction de l'outil de Mark RUSSINOVICH "NewSID"
> qui a pour but de remplacer la racine de tous les SID d'une machine
> dans le cas d'un clonage p.ex.

Sans oublier Sysprep (installé nativement dans Vista), qui peut faire la
même chose, dans la même optique.

@-salutations

Michel Claveau

"Maverick31" <Maverick31@discussions.microsoft.com> a écrit dans le message
de news:8F7D0F56-976B-4580-A94C-45D8912C4A7D@microsoft.com...
> Re-bonjour/bonsoir
> Je vous remercie pour votre réponse. Mais une réponse peuvant amener Ã* une
> autre question, je vais employer la facilité et vous poser une autre
> question, si vous me permettez d'abuser de votre gentillesse et de votre
> temps ^_^.
>
> DéjÃ*, serait-il possible de savoir comment fonctionne votre logiciel et
> pourrais-je l'utiliser pour mon dossier?

Question préalable :
Sais-tu programmer, et si oui en quel langage ?

Pour ma part, je l'ai écrit en Delphi 2006

L'énumératon des privilèges est le noyau de cette appli.
(la plupart des fonctions appelées ici font partie de "advapi32.dll")

Pour cela, la 1ère chose Ã* faire est d'obtenir un "token" grâce Ã*
"OpenProcessToken" sur le processus courant ("GetCurrentProcess")
http://msdn2.microsoft.com/en-us/library/ms683179.aspx
http://msdn2.microsoft.com/en-us/library/aa379295.aspx

Puis on va énumérer les privilèges a partir d'un appel de
"GetTokenInformation"
http://msdn2.microsoft.com/en-us/library/aa446671.aspx

J'affecte la valeur "TokenPrivileges" (=3) au paramètre
"TokenInformationClass"

je récupère les résulats dans une structure "TOKEN_PRIVILEGES"
http://msdn2.microsoft.com/en-us/library/aa379630.aspx

Par exemple la propriété "PrivilegeCount" contient le nombre de privilèges
du compte
Ensuite, pour avoir le nom de chaque privilège Ã* partir de sa valeur
numérique (LUID), j'utilise "LookupPrivilegeName"
http://msdn2.microsoft.com/en-us/library/aa379176.aspx

et pour que çÃ* soit plus explicite, j'appelle "LookupPrivilegeDisplayName"
qui donne la signifiaction de chaque privilège
(p.ex.
SeLoadDriverPrivilege = Charger et décharger les pilotes de
périphériques
SeSystemtimePrivilege = Modifier l'heure système
SeImpersonatePrivilege = Emprunter l'identité d'un client après
l'authentification
... )
http://msdn2.microsoft.com/en-us/library/aa379168.aspx

> Ensuite, Y-a-t-il un moyen de savoir Ã* quoi correspondent chaque fonctions
> pour que je puisse affiner mes recherches.

MSDN !!!

(je viens de t'en donner des exemples)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

"Jean-Claude BELLAMY" a écrit :
> Question préalable :
> Sais-tu programmer, et si oui en quel langage ?
> Pour ma part, je l'ai écrit en Delphi 2006

Savoir programmer est un bien grand mot, mais analyser un code ça va ^_^.
Je dois savoir me débrouiller en C, Java, XML.

En tout cas, je vous remercie beaucoup pour vos réponses.
Je vais essayer de me débrouiller seul sur mon projet Ã* partir de maintenant
(je ne veux pas non plus abuser). Vous m'avez bien débloqué dessus. Si j'ai
un problème ultérieurement, je re-tenterai de vous poser une question ^_^.

Merci pour votre aide.