Bonjours a tous,
 
Je travaille au service informatique d’une société de commerce sur internet, et certains de nos services ont besoin lors de test de pointer vers des serveurs particulier.
Les utilisateurs n’étant pas administrateur de leur poste je dois régulièrement modifiée leur fichier host le temps des tests.
 
Tache assez fastidieuse, d’où l’idée de leurs permettre de faire les modif eux même, hors pour cela, il faut des droits d’admin.
J’avais donc eu l’idée de crée un raccourcis sur leur bureau, pointant sur le fichier host en question, et en utilisant la commande runas.

 
Ça fonctionne très bien, a l’exception que je me suis rendu compte qu’il suffisait d’ouvrir les propriétés du raccourcis de récupéré la ligne cible, et de modifier le programme à exécuter, sans que le mot de passe ne soit à nouveau demandé.
Ça permet donc potentiellement de lancer n’importe quel programme avec des droits d’admin, ce qui n’est pas acceptable.
 
Ma question est donc, connaitriez-vous soit, une façon sécure de lancer un programme en tant qu’administrateur dans une session utilisateur sans avoir à taper le mot de passe admin à chaque fois ?
Soit d’empêcher l’acces a la ligne de commande qui lance le programme en admin ?
 
Merci pour votre aide.

Créer un service dans ton appli, qui lancera les tâches demandées.

Tu peux garder cette commande en l'incorporant dans un script Auto-it, et en compilant en EXE.
 
L'utilisateur aura juste à lancer l’exécutable généré par Auto-it, et ne pourra plus du coup changer le chemin de l'application.

Bonjour, et merci pour vos réponses,
 
J’avais pensé à cette solution de crée un .exe à partir d’un script, ce qui empêcherai l’utilisateur d’avoir accès a la ligne de commande, et de la modifier.
 
Mais j’ai remarqué, que même sans avoir accès a cela, il était possible de lancer n’importe quoi en admin depuis par exemple la commande exécuter.
 
Apparemment, une fois la commande runas utiliser avec l’argument  /savedcreds windows garde en mémoire le mot de passe et ne le redemande jamais pour l’exécution d’autre programme.
 
J’ai fait un test avec dans la commande exécuter avec :
 
C:\WINDOWS\system32\runas.exe /savedcreds /user:"Administrateur" "C:\Program Files\Microsoft Office\Office12\winword.exe"
 
Et Word se lance sans problème avec des droits d’administrateur …
 
Alors même si je doute que les utilisateurs de l’entreprise connaissent la commande runas et l’utilise pour lancer d’autre programme, un logiciel malveillant pourrait, lui, très bien s’en servir !
 
Du coup je vais re-centrer ma question, existe-t-il un moyen secure et relativement simple de lancer un programme en tant qu’administrateur dans une session utilisateur ?

Vive les trucs crados

Nebulios a bien répondu.

Ou sinon tu peux regarder via une tache planifiée, ou sinon appsense appmagement/beyond trust c'est fait pour

De mémoire, il existe une application du nom de CPAU si je ne m'abuse, application qui pourrait faire le taff

Même avec AutoIT, j'utilisais des commandes de niveau admin (activation/désactivation de carte réseau), depuis un compte pas admin... forcément à ajouter du "/savedcreds" à tort et à travers, ça fini par faire n'importe quoi.
 
A ta place j'aurais :
- créé un utilisateur avec les droits nécessaires
- le brider par rapport à ce qu'il peut lancer (facile si un Active Directory traîne)
- utilisé AutoIT avec la commande RunAs sur ce nouvel utilisateur avec la commande pour juste faire une copie/renommage du hosts, entre un original "non modifié" et une copie "pour développement"
 
Enfin bon, depuis avril j'espère que tu as pu résoudre ton problème

coucou,
 
ju'tiliserais un script autoit (avec la command runasset ) ou pour faire cela :

Paie ta sécurité à 2 balles ouais

je precise que les script autoit se compile avec autoit2exe quand meme

Et modifier les droits NTFS du fichier hosts ?

Si tu avais mieux, il ne faut pas hésiter à l'indiquer plutôt que de critiquer sans préciser plus : partages ton expérience, donnes tes idées... ce n'est pas fait pour ça un forum de discussions ?  

Rien n'empêche d'inclure dans son AutoIT de quoi remonter un petit log des modifications sur un partage réseau ou dans un fichier sur le disque dur de la machine

Même compilé, je pense que la sécurité d'un autoit du genre est proche du néant et qu'il sera très facile de récupérer le login/MDP pour aller ensuite exécuter n'importe quoi d'autre avec des privilèges élevés

De l'intérêt du log, de l'intérêt des programmes limités que ce compte dédié peut faire,...

 
Moi je dis que non
Sauf peut-être pour des experts. Et ils peuvent se manifester, ça m'intéresse
 
Mais perso, je ne comprends tjs pas pourquoi vous en discutez puisque l'auteur part sur une mauvaise piste.
Il suffit de modifier les droits NTFS du fichier hosts.

Bof, testé en 2sec avec https://exe2aut.com/ il y a pas plus simple

Oui, aujourd'hui ça ne concerne que l'édition d'un gentil fichier texte, mais ce cas de figure constitue un formidable cas d'école dès lors que ce sera un programme un tantinet plus complexe, n'est-ce pas ?

mea culpa Je@nb
auto it seul c'est de la merde pour faire ça
 
reste que le couple cpau +autoscript, ;-)
 
ou pourquoi pas psexec ou pqdeploy pro pour changer le fichier host à distance.
 

Comme l'indique Lgb94nb, cela peut servir pour d'autres cas... tiens justement j'en ai un qui m'est tombé à côté (comprendre "sur un collègue" ) : faire une remontée d'alarme sur le bureau de l'utilisateur dès qu'un PC portable est déco du réseau plus de XX jours.
Quoi de mieux qu'un logiciel en tant que compte admin qui envoie sur tous les comptes actuellement logués sur la machine un message pour prévenir de cela ?
 
Et vu la foultitude de postes que cela va toucher, impossible de passer par une alarme hébergé sur un serveur qui voit qui s'est connecté quand pour la dernière fois. ça devra être une action d'un utilisateur, pas d'un admin...

Même cpau suis sur je met windbg dessus je récupère le user/pwd en qq secondes

 
Bon OK je suis dehors

meme pas besoin de dbgtools lol :
 
http://micksmix.wordpress.com/2013 [...] -software/
 
Next  
 
bon il reste quoi, en fait (en gratos si possible) ?
 
Runasrob
http://www.robotronic.de/runasroben.html