Désactivation de l’héritage du registre/dossier

  • Description : L’héritage est le mécanisme par lequel les permissions définies sur un objet parent (comme un dossier ou une clé de registre) sont automatiquement appliquées aux objets enfants (sous-dossiers, fichiers, sous-clés) qu’il contient. Désactiver l’héritage brise cette propagation automatique, permettant aux objets enfants d’avoir des ensembles de permissions complètement différents et indépendants de ceux de leur parent.

  • Mécanisme: Réalisé via la boîte de dialogue « Paramètres de sécurité avancés » pour un dossier ou une clé de registre. Les utilisateurs disposant des autorisations appropriées peuvent cliquer sur le bouton « Désactiver l’héritage ». Cela convertit généralement les permissions héritées existantes en permissions explicites sur l’objet, qui peuvent ensuite être modifiées ou supprimées sans affecter le parent ou les frères et sœurs.

  • Pourquoi les tricheurs l’utilisent :

    • Dissimulation des entrées malveillantes : Un contourneur pourrait prendre une clé ou un dossier de registre apparemment anodin, désactiver l’héritage dessus, supprimer les permissions pour les utilisateurs/administrateurs standards, puis créer une sous-clé ou un sous-dossier contenant des données malveillantes (par exemple, des configurations de triche, des chemins vers des chargeurs cachés), n’accordant l’accès qu’à un compte ou un processus spécifique. Naviguer dans la clé/dossier parent peut ne pas révéler l’enfant caché à cause de l’héritage cassé et des permissions restrictives.

    • Prévenir la détection ou la saisie : Désactiver l’héritage sur un emplacement spécifique d’artefact (par exemple, une sous-clé utilisée pour la journalisation dans la structure du registre d’une application plus large) puis définir des permissions restrictives pourrait empêcher les services système ou les outils de partage d’écran d’accéder ou d’écrire à cet emplacement précis, tandis que la clé parente pourrait encore sembler normalement accessible. Un exemple mentionné dans le contexte des contournements consiste à désactiver l’héritage pour des clés spécifiques du registre BAM afin de gêner l’accès ou le débarrassage.

  • Détection: Nécessite d’inspecter manuellement les paramètres avancés de sécurité pour les dossiers ou clés de registre spécifiques en question :

    • Dossiers: Cliquez droit sur le dossier -> Propriétés -> onglet Sécurité -> Avancé. Vérifiez le statut du bouton héritage (Est-ce qu’il est indiqué « Activer l’héritage » [ce qui signifie qu’il est actuellement désactivé] ou « Désactiver l’héritage » [signifiant qu’il est actuellement activé] ?). Consultez les entrées d’autorisation listées – sont-elles « héritées de... » Ou bien s’appliquent-ils explicitement à cet objet ? Trouver l’héritage désactivé sur des emplacements critiques du système ou des dossiers de profil utilisateur sans raison légitime claire est suspect.

    • Clés du registre : En , clic droit sur la touche -> Permissions... -> Avancé. Effectuez les mêmes vérifications pour le statut d’héritage et la nature des entrées d’autorisation (explicites vs. héritées). Trouver l’héritage désactivé sur les clés liées à la configuration du système, à la sécurité ou à l’emplacement des artefacts connus mérite d’être examiné.regedit

PrécédentUtilisation de CACLS (ou similaires) pour les modifications des permissionsSuivantManipulation de partitions de disque pour l’évasion

Mis à jour