Désactivation des fonctionnalités système via la politique de registre/groupe

  • Description: Windows propose de nombreuses options de configuration via le Registre et l’Éditeur de Politiques de Groupe Local (disponible sur les éditions Pro/Entreprise). Les passants peuvent utiliser ces outils de configuration légitimes pour désactiver ou modifier les fonctionnalités système, ce qui pourrait entraver l’accès du ScreenSharer aux outils ou artefacts.gpedit.msc

  • Mécanisme: Cela implique de modifier des clés/valeurs spécifiques du Registre ou de configurer les paramètres de la Stratégie de Groupe. Les cibles courantes incluent :

    • Désactivation de l’Assistant de Compatibilité des Programmes (PCA) : Définir les valeurs du registre sous ou .DisablePCA HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat HKCU\Software\Policies\Microsoft\Windows\AppCompat

    • Empêcher l’accès à l’invite de commande : Activation de la politique « Empêcher l’accès à l’invite de commande » (Configuration utilisateur > modèles administratifs > système) ou en définissant la clé de registre correspondante sur ou .HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD 1 2

    • Dissimulation des disques dans Explorer : Définir la valeur sous en utilisant un bitmask pour masquer des lettres spécifiques du lecteur depuis l’Explorateur de fichiers (même si elles restent accessibles via un chemin direct).NoDrives HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    • Désactiver la boîte de dialogue de course : Définir la valeur sous la même touche Politiques de l’Explorateur désactive la boîte de dialogue Win+R Exécuter.NoRun

    • Désactivation de l’accès à l’éditeur de registre : L’activation de la politique « Empêcher l’accès aux outils d’édition du registre » bloque .regedit.exe

  • Pourquoi les tricheurs l’utilisent : Pour obstruer directement le ScreenSharer en désactivant les outils (, , Lancer la boîte de dialogue) couramment utilisés lors des vérifications, masquer les emplacements potentiels des preuves (dissimulant les disques) ou empêcher des mécanismes spécifiques de journalisation (désactiver la PCA).cmd.exe regedit.exe

  • Détection:

    • Vérifiez les clés spécifiques du registre : Naviguez manuellement vers les clés de politique concernées mentionnées ci-dessus dans ou dans l’Explorateur du registre et vérifiez les valeurs.regedit

    • Consultez la politique de groupe : Exécutez dans CMD pour générer un rapport HTML des politiques de groupe appliquées (locales et au niveau domaine). Examinez le rapport pour détecter des politiques restrictives.gpresult /h gpreport.html

    • Journaux d’exécution : Cherchez les exécutions récentes de ou dans Prefetch/BAM, ce qui pourrait indiquer des modifications manuelles récentes de ces paramètres.regedit.exe reg.exe

    • Observez le comportement : Rencontrer directement des fonctionnalités désactivées (par exemple, CMD qui ne s’ouvre pas, dialogue Exécuter bloqué) lors du partage d’écran est une preuve immédiate que de telles politiques sont actives.

PrécédentObfuscation de l’invite de commande (CMD)SuivantTechniques de défrichage des artefacts

Mis à jour