La sous-routine ProcessHost() utilise l'extension Win32::Registry pour interroger le registre d'une machine à distance. Tout d'abord, la sous-routine tente de se connecter à la machine éloignée. Si cette dernière n'est pas une plate-forme Win32, cette connexion échoue. Elle échoue également si une machine Win32 à distance empêche l'accès à son
Traiter le registre
registre (par
exemple, si la personne exécutant le
script n’a pas d’autorisations d’accès
au registre de la machine) ou si le service
du registre à distance est désactivé.
Quand la sous-routine établit une
connexion, elle tente d’accéder à
quatre valeurs de registre. Quand la
sous-routine ouvre correctement une
sous-clé de registre, elle demande une
valeur particulière, envoie la valeur à
l’écran, ferme la sous-clé, et répète la
logique pour les valeurs restantes. Les
quatre valeurs sont le nom de réseau
de la machine, le dernier utilisateur à s’être connecté, la vitesse approximative
de la machine en méga-hertz, et
une liste de null session shares.
Les null session shares sont des répertoires
partagés sans autorisations
associées et qui, de ce fait, ne requièrent
pas d’authentification client.
N’importe qui peut entrer dans ces répertoires
sans s’authentifier. Comme
les null session shares présentent un
risque pour la sécurité, il est bon de les
rechercher dans vos systèmes et d’éliminer
celles qui ne sont pas nécessaires.
Pour savoir quand les null session
shares sont nécessaires, voir
l’encadré « Utiliser des null session
shares ».
Le code en F extrait et traite la liste
des null session shares. La ligne en G
divise la liste délimitée par null en
noms de shares individuels. Ensuite,
pour chaque nom de share, le code
en H appelle l a sous-routine
IsShareAllowed() pour vérifier si le
nom de share se trouve dans le tableau
@VALID_SHARES (défini dans le code
en B). Pour mes besoins, le tableau
contient les noms de quatre shares que
ma société autorise comme null session
shares. Ces quatre shares permettent
à Microsoft DFS et à Inoculan
AntiVirus de Computer Associates
(CA) de fonctionner. Il vous faudra modifier
ce tableau pour y introduire les
noms de null session shares que vous
autorisez sur votre réseau.
Le code en H inclut une ligne, que
j’ai commentée, qui enlève de la liste
des null session shares dans le registre,
tous les noms de shares qui ne sont pas
dans le tableau @VALID_SHARES et
stocke la liste mise à jour dans le registre.
Si vous voulez utiliser
FixNullShares.pl pour supprimer les
noms de null session shares non approuvées
du registre de vos machines,
supprimez simplement le caractère
commentaire (#) du début de la ligne
commentée. Mais avant de faire cela,
assurez-vous que le tableau @VALID_
SHARES contient les noms de
shares corrects pour votre réseau ou
pour une machine donnée.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
