1486 connectés

FORUM HardWare.fr

Systèmes & Réseaux Pro

Management du SI

Lancer programme avec droit d'admin dans session utilisateur

Recherche :

Dernière réponse
Sujet : Lancer programme avec droit d'admin dans session utilisateur
exmachina	meme pas besoin de dbgtools lol : http://micksmix.wordpress.com/2013 [...] -software/ Next :D bon il reste quoi, en fait (en gratos si possible) ? Runasrob http://www.robotronic.de/runasroben.html

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

exmachina

meme pas besoin de dbgtools lol :

http://micksmix.wordpress.com/2013 [...] -software/

Next :D

bon il reste quoi, en fait (en gratos si possible) ?

Runasrob
http://www.robotronic.de/runasroben.html

ShonGail

Je@nb a écrit :

Bof, testé en 2sec avec https://exe2aut.com/ il y a pas plus simple

Bon OK je suis dehors [:tang]

Je@nb

Même cpau suis sur je met windbg dessus je récupère le user/pwd en qq secondes

bardiel

Comme l'indique Lgb94nb, cela peut servir pour d'autres cas... tiens justement j'en ai un qui m'est tombé à côté (comprendre "sur un collègue" ) : faire une remontée d'alarme sur le bureau de l'utilisateur dès qu'un PC portable est déco du réseau plus de XX jours.
Quoi de mieux qu'un logiciel en tant que compte admin qui envoie sur tous les comptes actuellement logués sur la machine un message pour prévenir de cela ?

Et vu la foultitude de postes que cela va toucher, impossible de passer par une alarme hébergé sur un serveur qui voit qui s'est connecté quand pour la dernière fois. ça devra être une action d'un utilisateur, pas d'un admin...

exmachina

mea culpa Je@nb
auto it seul c'est de la merde pour faire ça

reste que le couple cpau +autoscript, ;-)

ou pourquoi pas psexec ou pqdeploy pro pour changer le fichier host à distance.

Lgb94nb

ShonGail a écrit :

Moi je dis que non :o
Sauf peut-être pour des experts. Et ils peuvent se manifester, ça m'intéresse :)

Mais perso, je ne comprends tjs pas pourquoi vous en discutez puisque l'auteur part sur une mauvaise piste.
Il suffit de modifier les droits NTFS du fichier hosts.

Oui, aujourd'hui ça ne concerne que l'édition d'un gentil fichier texte, mais ce cas de figure constitue un formidable cas d'école dès lors que ce sera un programme un tantinet plus complexe, n'est-ce pas ?

Je@nb

Bof, testé en 2sec avec https://exe2aut.com/ il y a pas plus simple

ShonGail

Je@nb a écrit :

Même compilé, je pense que la sécurité d'un autoit du genre est proche du néant et qu'il sera très facile de récupérer le login/MDP pour aller ensuite exécuter n'importe quoi d'autre avec des privilèges élevés

Moi je dis que non :o
Sauf peut-être pour des experts. Et ils peuvent se manifester, ça m'intéresse :)

Mais perso, je ne comprends tjs pas pourquoi vous en discutez puisque l'auteur part sur une mauvaise piste.
Il suffit de modifier les droits NTFS du fichier hosts.

bardiel

De l'intérêt du log, de l'intérêt des programmes limités que ce compte dédié peut faire,...

Je@nb

bardiel

Je@nb a écrit :

Paie ta sécurité à 2 balles ouais :/

Si tu avais mieux, il ne faut pas hésiter à l'indiquer plutôt que de critiquer sans préciser plus :o : partages ton expérience, donnes tes idées... ce n'est pas fait pour ça un forum de discussions ?

ShonGail a écrit :

Et modifier les droits NTFS du fichier hosts ?

Rien n'empêche d'inclure dans son AutoIT de quoi remonter un petit log des modifications sur un partage réseau ou dans un fichier sur le disque dur de la machine :D

ShonGail

Et modifier les droits NTFS du fichier hosts ?

exmachina

je precise que les script autoit se compile avec autoit2exe quand meme :D

Je@nb

Paie ta sécurité à 2 balles ouais :/

exmachina

coucou,

ju'tiliserais un script autoit (avec la command runasset ) ou pour faire cela :

bardiel

Même avec AutoIT, j'utilisais des commandes de niveau admin (activation/désactivation de carte réseau), depuis un compte pas admin... forcément à ajouter du "/savedcreds" à tort et à travers, ça fini par faire n'importe quoi.

A ta place j'aurais :
- créé un utilisateur avec les droits nécessaires
- le brider par rapport à ce qu'il peut lancer (facile si un Active Directory traîne)
- utilisé AutoIT avec la commande RunAs sur ce nouvel utilisateur avec la commande pour juste faire une copie/renommage du hosts, entre un original "non modifié" et une copie "pour développement"

Enfin bon, depuis avril j'espère que tu as pu résoudre ton problème :D

Lgb94nb

De mémoire, il existe une application du nom de CPAU si je ne m'abuse, application qui pourrait faire le taff

Je@nb

Vive les trucs crados :/

Nebulios a bien répondu.

Ou sinon tu peux regarder via une tache planifiée, ou sinon appsense appmagement/beyond trust c'est fait pour

38djean

Bonjour, et merci pour vos réponses,

J’avais pensé à cette solution de crée un .exe à partir d’un script, ce qui empêcherai l’utilisateur d’avoir accès a la ligne de commande, et de la modifier.

Mais j’ai remarqué, que même sans avoir accès a cela, il était possible de lancer n’importe quoi en admin depuis par exemple la commande exécuter.

Apparemment, une fois la commande runas utiliser avec l’argument /savedcreds windows garde en mémoire le mot de passe et ne le redemande jamais pour l’exécution d’autre programme.

J’ai fait un test avec dans la commande exécuter avec :

C:\WINDOWS\system32\runas.exe /savedcreds /user:"Administrateur" "C:\Program Files\Microsoft Office\Office12\winword.exe"

Et Word se lance sans problème avec des droits d’administrateur …

Alors même si je doute que les utilisateurs de l’entreprise connaissent la commande runas et l’utilise pour lancer d’autre programme, un logiciel malveillant pourrait, lui, très bien s’en servir !

Du coup je vais re-centrer ma question, existe-t-il un moyen secure et relativement simple de lancer un programme en tant qu’administrateur dans une session utilisateur ?

still_at_work

Tu peux garder cette commande en l'incorporant dans un script Auto-it, et en compilant en EXE.

L'utilisateur aura juste à lancer l’exécutable généré par Auto-it, et ne pourra plus du coup changer le chemin de l'application.

nebulios

Créer un service dans ton appli, qui lancera les tâches demandées.

38djean

Bonjours a tous,

Je travaille au service informatique d’une société de commerce sur internet, et certains de nos services ont besoin lors de test de pointer vers des serveurs particulier.
Les utilisateurs n’étant pas administrateur de leur poste je dois régulièrement modifiée leur fichier host le temps des tests.

Tache assez fastidieuse, d’où l’idée de leurs permettre de faire les modif eux même, hors pour cela, il faut des droits d’admin.
J’avais donc eu l’idée de crée un raccourcis sur leur bureau, pointant sur le fichier host en question, et en utilisant la commande runas.

Citation :

C:\WINDOWS\system32\runas.exe /savedcreds /user:"Administrateur" "C:\WINDOWS\system32\notepad.exe "C:\WINDOWS\system32\drivers\etc\hosts""

Ça fonctionne très bien, a l’exception que je me suis rendu compte qu’il suffisait d’ouvrir les propriétés du raccourcis de récupéré la ligne cible, et de modifier le programme à exécuter, sans que le mot de passe ne soit à nouveau demandé.
Ça permet donc potentiellement de lancer n’importe quel programme avec des droits d’admin, ce qui n’est pas acceptable.

Ma question est donc, connaitriez-vous soit, une façon sécure de lancer un programme en tant qu’administrateur dans une session utilisateur sans avoir à taper le mot de passe admin à chaque fois ?
Soit d’empêcher l’acces a la ligne de commande qui lance le programme en admin ?

Merci pour votre aide.