Outrepasser les restrictions logicielles
Outrepasser les stratégies de groupe
1. Le principe des stratégies de groupe
Les stratégies de groupe sont généralement définies au niveau de l’entreprise par un administrateur de domaine. Il crée des règles qui sont ensuite appliquées au niveau de l’utilisateur ou au niveau de la machine. Ces règles, les GPO (Group Policy Object), sont rafraîchies dans un délai lui aussi configurable par l’administrateur, par défaut 90 minutes sur les postes clients. Lorsqu’une GPO est appliquée à un logiciel comme Office ou Internet Explorer, elle applique les règles configurées lors du démarrage du programme. Lors du lancement du programme, l’application va lire les restrictions dans le registre puis les applique à l’utilisateur. Lors de l’application d’une GPO à des paramètres système, le moment de l’application dépendra des paramètres. Si ces paramètres s’appliquent à une restriction logicielle telle que l’interdiction d’utiliser l’éditeur du registre ou le gestionnaire des tâches, ou d’éditer le pare-feu, alors le principe est généralement le même : c’est l’application qui, au moment de son ouverture, va lire les restrictions appliquées dans le registre de l’utilisateur et dans le registre local de la machine. Certaines fonctionnalités bloquées par GPO sont lues uniquement au démarrage du système ou à l’ouverture de session. Si le registre est modifié après le démarrage, il n’y aura pas d’impact sur ces paramètres.
2. Bloquer l’exécution des GPO
Pour bloquer l’application GPO, il faut empêcher l’application bloquée de pouvoir lire les restrictions dans le registre. Avant Windows 7, il était possible de définir la sécurité des clés de registres où sont stockées les restrictions et d’empêcher le système de réappliquer ces droits. Depuis Windows 7 le système réapplique les droits. Une des manières des plus simples consiste donc à supprimer régulièrement les clés dans le registre. Il est nécessaire...
Contourner les restrictions courantes
Comme vous l’aurez compris, la plupart des stratégies de groupe ne bloquent pas une application, c’est l’application qui se bloque en lisant son interdiction dans le registre. Il n’est pas toujours possible de modifier ou de supprimer les clés de registre qui limitent une activité car cela nécessite d’avoir les droits suffisants sur son système. Microsoft propose aux administrateurs d’autres outils que les GPO pour forcer un fonctionnement particulier, par exemple l’utilisation des Préférences, AppLocker ou le déploiement de clés de registre via des scripts d’ouverture de session.
Les utilisateurs ont eux aussi des moyens pour contourner les restrictions classiques pouvant être mises en œuvre. Parmi ces moyens intégrés au système, on a :
-
La ligne de commande.
-
PowerShell.
-
La création d’une application .NET qui utilise ou non WMI, puis la compiler.
-
La création d’une macro dans un document Office.
-
La création d’un script VBS qui utilise, suivant le cas, WMI.
Le système contient ce qu’il faut pour contourner les restrictions imposées par une stratégie. Si l’utilisateur est administrateur de sa machine, les stratégies de groupe pourront quasiment toutes être contournées ou supprimées. Nous allons lister les plus fréquentes ainsi que les moyens de contournements les plus utilisés.
1. L’explorateur Windows
L’explorateur Windows est totalement intégré au système. Il est utilisé dès que vous souhaitez naviguer vos dossiers. L’administrateur peut choisir de cacher et/ou de vous empêcher d’accéder à un disque en appliquant une stratégie de groupe. Il ne s’agit pas là de la sécurité définie avec NTFS, mais de l’accès à tout un disque.
a. Le principe
Comme vous l’avez vu dans la section précédente, quand le système applique une stratégie de groupe, il écrit ces informations dans le registre. Les clés de registre qui correspondent à ce blocage sont les suivantes :
HKCU\Software\Microsoft\Windows\CurrentVersion\\Policies\\explorer
"NoDrives"=dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer ...