Voici une liste de clés de registre intéressantes à connaître dans le but d’améliorer le fonctionnement de votre système (et d’automatiser certaines installations) !
Pour chaque fichier registre, n’oubliez pas d’ajouter en 1ère ligne « REGEDIT4 » et « .Reg » en extension afin de le rendre « utilisable » sur tout système NT.
L’instruction « REGEDIT /S fichier.REG » dans un script (par exemple, celui de la connexion de l’utilisateur) vous permettra d’automatiser la modification.
|
[HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0] "VendorIdentifier"="GenuineIntel" "~MHz"=dword:0000014c |
– L’effacement du fichier « PageFile.sys » peut être nécessaire sur les systèmes critiques. En effet, des informations sensibles peuvent se trouver dans ce fichier sur un disque dur.
– Son effacement systématique à chaque arrêt empêche la lecture de son contenu.
Il permet aussi à plusieurs systèmes d’exploitation concomitant de se partager le même espace, chacun créant son fichier PageFile.sys à chaque redémarrage.
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session "ClearPageFileAtShutdown"=dword:00000001 |
– Cette modification permet de ne garder que les évènements de type « erreur » généré par le spooler (Eventlog). En effet, sinon les serveurs d’impression n’ont souvent plus que des évènements de type « print » (information), au détriment des erreurs ou alertes qui peuvent disparaître si l’on a limité la taille du journal d’évènements.
– NetPopup permet de ne pas envoyer de message indiquant la fin de l’impression sur le réseau. En effet, les utilisateurs sont souvent proches de leur imprimante et envoient rarement de grosses éditions.
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers] "EventLog"=dword:00000003 "NetPopup"=dword:00000000 |
– Certains logiciels (ou utilisateurs, parfois même les développeurs) génèrent un tas de “bip” souvent inutiles. Le redémarrage d’un portable dans le train…génère souvent ce bruit gênant.
Pour un arrêt temporaire :
|
« NET STOP BEEP » |
Pour arrêt définitif :
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Beep] "Start"=dword:00000003 |
– Afin d’éviter les “dumps” (qui sont très rarement utile pour l’utilisateur) qui prennent de la place et bloquent temporairement la machine :
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug] "Auto"="0" "Debugger"="" |
Cette opération est à éviter sur les stations des développeurs !
– La sécurité parentale peut être intéressante, mais est parfois activée par erreur (à titre professionnel ou privé).
– L’inconvénient est que cette sécurité s’applique à tous les utilisateurs de la machine, et que le mot de passe est souvent oublié par celui qui la met en place.
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings] |
– La suppression de cette clé permet de revenir à une situation claire.
Bien entendu, l’administrateur doit protéger cette clé contre la suppression par les personnes non autorisées.
– Certains logiciels ou scripts ont besoin de savoir quelle est la langue installée du système d’exploitation, et la langue par défaut choisie.
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language] "InstallLanguage"="0409" "Default"="040c" |
Le script défini dans la « langue courante de l’utilisateur » peut être modifié facilement pour lire cette information.
La liste des pays et des codes correspondant se trouve dans la clé « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language »
Exemple de VbScript permettant d’obtenir cette information.
|
Dim CleReg,WshShell,Pays SET WshShell = CreateObject ("Wscript.shell") CleReg="HKEY_CURRENT_USER\Control Panel\Desktop\MultiUILanguageId"
Pays = WshShell.RegRead(CleReg) SELECT CASE UCASE(Pays) CASE "00000C0A": Pays="ES" CASE "0000040C": Pays="FR" CASE "00000410": Pays="IT" CASE "00000415": Pays="PL" CASE "00000816": Pays="PT" CASE ELSE Pays="EN" END SELECT MsgBox(Pays) |
Cette langue de l’utilisateur est importante sur les systèmes « multi langues ».
En effet, les informations ou messages d’erreurs du système sont affichés en fonction de la langue que l’utilisateur a sélectionnée.
– Le mode passif est nécessaire dès que les traitements par FTP doivent passer au travers d’un pare-feu. Dans le navigateur, l’option existe mais ne bénéficie pas au programme ftp://ftp.exe/ utilisé dans les scripts. Voici la clé permettant d’activer ce mode.
|
[HKEY_CURRENT_USER\Software\Microsoft\Ftp "Use PASV"="yes" |
– L’idéal est bien sur d’utiliser la stratégie pour affecter la configuration du proxy.
Dans certain cas, cela n’est pas possible (machine hors du domaine, sur des sites distants,…)
– Voici le strict minimum à activer pour ce type de configuration.
|
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyEnable"=dword:00000001 "ProxyServer"="ServeurISA:8080"
"ProxyOverride"="192.168.2.230;ServeurTD1;*.deman.local; |
Thierry DEMAN (MVP Exchange et SQL/Server)
MCSE+I, MCSE:Option Messaging, MCDBA
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
