Script batch (net user)

[Résolu/Fermé]
Signaler
-
Messages postés
3
Date d'inscription
samedi 15 juin 2013
Statut
Membre
Dernière intervention
27 juin 2013
-
Bonjour,

Sur le réseau du lycée, suite à une faille non corrigée qui aurait dûe l'être depuis très longtemps (d'autant plus en ce moment où tous les jeunes, portés par un rêve du piratage, cherchent sur google... Et trouvent dans la première page), il est finalement arrivé qu'un petit malin "emprunte" le fichier SAM pour le décrypter ; il a donc accès au compte administrateur local de chaque machine (puisque toutes possèdent le même mot de passe)... Et ont ainsi accéder à des privilèges sur le domaine (gain de droits sur certains dossiers). Moins plaisant. Mais ils n'ont pas eu la sagesse de camoufler leurs actes : les personnes sont identifiées.

Quant à la faille exploitée, c'est un boot sous linux ou un quelconque OS permettant de rendre le disque windows comme esclave de ce premier ; afin de s'emparer du SAM et utiliser un soft tel que john the ripper.

A savoir que l'OS des machines qui se connectent au réseau est Win' XP.

Les mesures que nous prenons :
- mot de passe BIOS
- suppression de tous les comptes du localhost SAUF un : admin, changement du mot de passe de ce dernier compte OU, s'il s'avère préférable, changement du mot de passe de tous les comptes locaux vers un autre.
- suppression des comptes domaine des individus qui ont bidouillé, et il peut être envisageable de leur créer un nouveau compte.

Les mesures qui sont déjà prises :
- cadenassage des tours, afin que le BIOS ne puisse pas être reset
- regedit désactivé
- cmd de même, mais un bloc note en .bat fait l'affaire. Comment désactiver cette "astuce" ?
- La racine C: n'est pas accessible par l'interface graphique, ni par le prompt

Ma question première est :
comment utilisé "net user" pour supprimer tous les utilisateurs locaux sauf "admin" ? net user * -admin /delete ?
Quelle faille resterait-il d'après vous ?

10 réponses

salut,

voila pour commencer, tout ça à copier (à partir de "@echo off" jusqu'à "PAUSE" inclu) dans un .bat (ou .cmd)

--------------------------------------------------------------------------------------

@echo off

rem Remplacer "toto" par le nouveau mot de passe à affecter à l'utilisateur "admin"
set PASSWORD=toto

rem Nom du fichier de log
set LOG=log_%computername%.log

rem Liste les utilisateurs
echo ----------------------------------------- >%LOG%
echo Liste des utilisateurs avant suppression: >>%LOG%
echo ----------------------------------------- >>%LOG%
net user >>%LOG%

rem Supprime tous les utilisateurs sauf admin
(
for /f "tokens=1,2,3,4,5,6 delims= " %%i in ('net user') do (
if %%i NEQ admin (
net user %%i /delete
)
if %%j NEQ admin (
net user %%j /delete
)
if %%k NEQ admin (
net user %%k /delete
)
if %%l NEQ admin (
net user %%l /delete
)
if %%m NEQ admin (
net user %%m /delete
)
if %%n NEQ admin (
net user %%n /delete
)
)
) >nul 2>&1

rem Liste les utilisateurs
echo ----------------------------------------- >>%LOG%
echo Liste des utilisateurs apres suppression: >>%LOG%
echo ----------------------------------------- >>%LOG%
net user >>%LOG%

rem Modifie le mot de passe pour l'utilisateur "admin"
echo ----------------------------------------- >>%LOG%
echo Modification du mot de passe "admin": >>%LOG%
echo ----------------------------------------- >>%LOG%
net user admin %PASSWORD% >>%LOG% 2>&1

PAUSE


--------------------------------------------------------------------------------

Pour le reste, bloquer le cmd.exe et le regedit, s'ils les élèves ont seulement des droits d'utilisateurs, ils ne devraient pas pouvoir "pourrir" le système.
Parce que pour ça je ne suis pas sur de savoir l'intégrer dans un script.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 42674 internautes nous ont dit merci ce mois-ci

Messages postés
8
Date d'inscription
samedi 28 janvier 2012
Statut
Membre
Dernière intervention
30 janvier 2012
1
Très bien, ce n'est pas grave , Merci beaucoup du script ! :)
Merci également d'avoir commenté

Allez, @+ et merci encore
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 42674 internautes nous ont dit merci ce mois-ci

Bonsoir, pour désactiver l'invite de commande, appuyez sur les touches Windows+R te tapez regedit, déployez cette branche:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
Ensuite créez une clé DWORD et nommez là "DisableCMD", en entrez l'une des valeurs, selon vos besoins :
Valeur de la DWORD: (0 = par défaut, 1 = désactivé, 2 = désactivé mais le batch fonctionne)

Ordinateur : moyen conçu pour accélérer et automatiser les erreurs
Messages postés
8
Date d'inscription
samedi 28 janvier 2012
Statut
Membre
Dernière intervention
30 janvier 2012
1
C'est DUG. Alors, sauf erreur, il me semble que la clef DWORD DisableCMD a pour valeur 1.

Alors pourquoi reste-t-il possible d'écrire dans un bloc note

@echo off
cmd.exe
echo on

et l'enregistrer sous *.bat ; l'exécuter par la suite... Et accéder à l'invite de commande ?
Messages postés
8
Date d'inscription
samedi 28 janvier 2012
Statut
Membre
Dernière intervention
30 janvier 2012
1
Personne pour la question initiale ?
pour supprimer tous les utilisateurs sauf administrateur, je ferai ça:

@echo off

net user >liste_utilisateurs.log

(
for /f "tokens=1-10 delims= " %%i in (liste_utilisateurs.log) do (
if %%i NEQ Administrateur (
net user %%i /delete
)
if %%j NEQ Administrateur (
net user %%j /delete
)
if %%k NEQ Administrateur (
net user %%k /delete
)
if %%l NEQ Administrateur (
net user %%l /delete
)
if %%m NEQ Administrateur (
net user %%m /delete
)
if %%n NEQ Administrateur (
net user %%n /delete
)
)
) 2>nul

erase liste_utilisateurs.log

PAUSE
ensuite il faut:
-qu'ils ne puisse pas booter sur usb ou cd (conf dans le bios)
-mot de passe bios
-cadenasser les UC pour éviter d'enlever la pile et du coup enlever le mot de passe bios.
-seul utilisateur administrateur en local avec un mot de passe alpha numérique et avec caractere spéciaux et minuscule majuscule d'au moins 14 caractères qui sera changé tous les 3 mois max.
pour creer et executer un .bat, si les droits sont ceux d'un utilisateur alors malqré le fait de pouvoir exécuter certaines commandes ils ne pourront pas faire des modifs sur le systeme donc aucun risque.
Messages postés
8
Date d'inscription
samedi 28 janvier 2012
Statut
Membre
Dernière intervention
30 janvier 2012
1
Je ne comprends pas trop le fonctionnement du script... Si remplace Administrateur par "admin", alors le compte nommé admin, sur lequel je lancerai le script d'ailleurs, ne sera pas lancé.. exact ?
J'ai 8 utilisateurs sur 300 machines à supprimer, d'où l'utilisation d'un script.. Est-ce que ce script permet à assez de compte d'être supprimé ?

Merci
la dans le script tous les utilisateurs sauf "Administrateur" seront supprimés.
Si le seul compte à garder s'appelle "admin" alors il faut remplacer toutes les occurences "Administrateur" en "admin".

La avec ce sript peut importe le nombre d'utilisateurs, ils seront tous suprimés.


Si vous voulez quelque chose de "sur mesure" pour être sur du résultat, envoyez moi le résultat de la commande "net user" qur un poste et je ferai le script en conséquence.
Très bien ; je suppose que pour le bios, il faudra le faire moi-même au démarrage sur chacune des machines.

Le script est à placer sur une clef USB (pas d'autorun), et directement executable depuis la clef USB. Normalement, c'est le cas d'un .bat .

Il est censé :
- Supprimmer tous les utilisateurs sauf "admin"
- Changer le mot de passe du compte restant, à savoir "admin" vers "mot-de-passe"

avec si possible un rapport si chacune des actions ont été correctement effectuées ou non

Et si tu veux faire un peu de zèle, un autre script qui consiste à bloquer la CMD depuis executable , et le regedit depuis l'excutable et le prompt, car il reste des machines (toutes celles qui sont dans les classes de sciences et de technologies..) où ces fonctions ne sont pas désactivées.

Normalement, ce sera tout ; je reviendrai sur la partie "programmation" si j'ai d'autres question en ce qui concernerait un script interdisant l'accès à C:/Windows (impossible d'y aller ni par le prompt ni par l'interface graphique, les machines du CDI en sont déjà dotées) ; plutôt que de le faire manuellement...

Merci beaucoup de ton temps
ok je verrai tout ça demain soir...
Messages postés
8
Date d'inscription
samedi 28 janvier 2012
Statut
Membre
Dernière intervention
30 janvier 2012
1
Très bien, merci beaucoup ! :) Je devrais sans doute me mettre aux scripts DOS moi... J'espère que ça ne diffère pas trop de Linux, histoire que je n'ai pas deux languages trop différents à apprendre.
A demain, encore merci (sans vouloir trop en faire ;) )
Desactiver ports usb et lecteur cd.
Messages postés
3
Date d'inscription
samedi 15 juin 2013
Statut
Membre
Dernière intervention
27 juin 2013

Ludo,
Ce script fonctionne parfaitement.
Je suis presque dans le même cas de figure que bbdg.

Je cherche un script qui vide le contenu des users (script que je ne trouve pas) ou les supprime.
Votre script supprime parfaitement tous les utilisateurs de la bd.

Lorsque je recrée à la volée les users (chaque user est en fait un groupe) avec la même appellation via un script .cmd, l'utilisateur:
1: n'a plus de droit d'écriture sauf avec le code admin;
2: ne peut rien garder dans sa session comme fichier ou dossier, ceci ni sur le bureau ni dans le répertoire Documents.

Ma question est : que faut-il changer ou adapter dans votre script pour redonner les droits d'écriture et d'enregistrement à l'utilisateur??

En vous remerciant