3 votes

curwin avatar

comment désactiver l'exécution via la recherche sur Windows 10 ?

Demandé el 28 de Février, 2017
Quand la question a-t-elle été
1318 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous essayons d'empêcher nos utilisateurs d'exécuter diverses commandes que nous n'approuvons pas spécifiquement. Nous avons mis en place Applocker, mais cela n'empêche pas l'utilisateur d'exécuter des commandes commençant par rundll32.exe ou regsvr32.exe. Dans les versions précédentes de Windows, le paramètre de stratégie de groupe "Supprimer le menu Exécuter du menu Démarrer" était suffisant. Mais dans Windows 10, lorsqu'un utilisateur commence à taper n'importe quelle commande dans la recherche, même si ce paramètre de stratégie de groupe est appliqué, la commande s'exécute.

Y a-t-il un moyen d'éviter cela ? Il s'agit d'un problème de sécurité important, et je suis surpris que Windows 10, qui est généralement plus sécurisé, le soit moins dans ce domaine.

Sinon, y a-t-il au moins un moyen d'empêcher l'accès au champ de recherche ? Je l'ai déjà trouvé dans la barre des tâches (même si je le règle sur "caché", l'utilisateur peut le remettre sur "afficher l'icône de recherche" ou "afficher la boîte de recherche"), dans la liste alphabétique des programmes (sous "Recherche") et via les touches de raccourci Windows+S et Windows+Q.

J'ai essayé de renommer le dossier C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy

Cela a permis de désactiver complètement la fonction de recherche, mais c'est allé trop loin pour nos besoins. Elle empêchait les utilisateurs de lancer leurs programmes à partir du menu Démarrer. Par exemple, ils ne pouvaient pas simplement commencer à taper "Word" pour que Microsoft Word s'ouvre.

Toute idée sera la bienvenue.

Gracias.

David

Demandé el 28 de Février, 2017 par curwin

Réponse

Trop de publicités?

1voto

Daniel avatar
Daniel Points 243

Je sais que cela fait longtemps que vous avez posté cette question, mais j'ai pensé vous faire savoir comment nous avons traité ce problème, car cela peut encore vous aider ou aider quelqu'un d'autre.

Nous avons désactivé la fonction de recherche à l'aide d'AppLocker, puis placé des raccourcis vers les applications les plus utilisées (par exemple Office) sur le bureau. Nous avons également déployé une mise en page du menu Démarrer qui contient des tuiles pour toutes les applications courantes, de sorte que Word, Excel, etc. ont toutes une tuile dans le menu Démarrer. Je sais que vous ne vouliez pas désactiver complètement la fonction de recherche, mais peut-être que la disposition du menu Démarrer et le bureau pourraient constituer un compromis acceptable ?

Pour configurer AppLocker afin de bloquer la fonction de recherche, j'ai créé la règle suivante :

Note : Pour ceux qui n'ont jamais utilisé AppLocker, il peut être trouvé ici COMPUTER Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker

Sous Packaged app Rules J'ai créé une politique avec les paramètres suivants. J'ai choisi d'autoriser tous les paquets par défaut et de créer des exceptions pour tout ce que je voulais désactiver. Vous pouvez simplement configurer une règle de refus pour le paquet Cortana.

Action: Allow
User: Everyone
Publisher: *
Package name: *
Package version: 0.0.0.0 And above

Exceptions:

Publisher: CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Package name: Microsoft.Windows.Cortana
Package version: * And above

J'ai ensuite créé une autre règle qui autorise tous les paquets sans exception et je l'ai appliquée à un groupe de sécurité qui contient moi-même et mes collèges (par exemple DOMAIN \IT Support) pour l'empêcher de nous empêcher d'accéder à tout ce que ma première règle bloque. (REMARQUE : J'ai constaté que l'utilisation du groupe Administrateurs ne fonctionne pas bien pour cela, car vous devez élever votre compte/exécuter en tant qu'administrateur pour utiliser tout ce qui est bloqué. L'utilisation d'un autre groupe tel que "IT Support Staff" fonctionne beaucoup mieux).

Pour déployer la mise en page Star Menu, j'ai activé la politique suivante :

USER Configuration\Policies\Administrative Templates\Start Menu and Taskbar\Start Layout File

J'ai stocké le fichier de mise en page dans un partage accessible et j'ai orienté la politique vers celui-ci. Voici un exemple de fichier de mise en page :

<LayoutModificationTemplate Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
  <LayoutOptions StartTileGroupCellWidth="6" />
  <DefaultLayoutOverride>
    <StartLayoutCollection>
      <defaultlayout:StartLayout GroupCellWidth="6" xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout">
        <start:Group Name="Internet" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="Microsoft.Windows.Computer" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="Chrome" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="N:\" />
        </start:Group>
        <start:Group Name="Office" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSACCESS.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\ONENOTE.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\EXCEL.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\WINWORD.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\POWERPNT.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSPUB.EXE" />
          <start:Tile Size="2x2" Column="0" Row="4" AppUserModelID="Microsoft.Office.Sway_8wekyb3d8bbwe!Microsoft.Sway" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="4" DesktopApplicationID="{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\Adobe\Acrobat 9.0\Acrobat\Acrobat.exe" />
        </start:Group>
      </defaultlayout:StartLayout>
    </StartLayoutCollection>
  </DefaultLayoutOverride>
</LayoutModificationTemplate>

Vous pouvez créer votre propre fichier de mise en page du menu Démarrer en exportant la mise en page de votre propre menu Démarrer. Ceci peut être fait en utilisant cette commande powershell :

Export-StartLayout –path <path><file name>.xml

Plus d'informations ici : Personnaliser et exporter la mise en page de Démarrage (docs.microsoft.com)

J'espère que cela aidera quelqu'un.

Répondu el 11 de Octobre, 2017 par Daniel (243 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X