Comment faire pour restreindre l'accès au Registre à partir d'un ordinateur distant

Traductions disponibles Traductions disponibles
Numéro d'article: 153183 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F153183
Pour vous procurer une version Microsoft Windows XP de cet article, reportez-vous à l'article 314837.
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

L'Éditeur du Registre prend en charge l'accès à distance au Registre Windows. Cependant, vous pouvez également limiter cet accès.

Plus d'informations

Par défaut, sur un système Windows NT 3.51, n'importe quel utilisateur peut accéder au Registre lorsqu'il se connecte sur le réseau. Sur un système Windows NT 4.0 et version ultérieure, seuls les membres du groupe Administrateurs peuvent accéder par défaut au Registre sur le réseau.

Les utilisateurs de domaine peuvent se connecter à distance au Registre d'un contrôleur de domaine à l'aide de Regedit.exe. Ils peuvent ensuite afficher les valeurs dans les entrées HKEY_CLASSES_ROOT et HKEY_USERS. Toutefois, ils ne bénéficieront que d'un accès en lecture seule. Ce comportement est voulu par la conception même du produit.

Remarque Certains services ont besoin d'accéder au Registre pour fonctionner correctement. Par exemple, si vous ajoutez cette clé à un système 3.51 qui exécute la duplication d'annuaire, vous devez accorder l'accès du compte du réplicateur au Registre comme cet article l'explique ultérieurement.

Restriction de l'accès réseau au Registre

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
Remarque Dans Windows 2000 et versions ultérieures, seuls les administrateurs et les opérateurs de sauvegarde bénéficient de l'accès réseau par défaut au Registre. Cette section peut ne pas s'appliquer dans certains cas. Pour restreindre l'accès réseau au Registre, appliquez les étapes répertoriées ci-dessous pour créer la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Nom : Description
Type : REG_SZ
Valeur : Serveur de Registre
Les autorisations de sécurité définies sur cette clé déterminent les Utilisateurs ou Groupes qui peuvent se connecter au système pour accéder au Registre distant. L'installation de Windows par défaut détermine cette clé et définit la liste de contrôle d'accès pour qu'elle limite l'accès de Registre distant comme suit :
Les administrateurs ont un contrôle total
La configuration par défaut de Windows autorise uniquement aux Administrateurs d'accéder à distance au Registre. Les modifications apportées à cette clé pour permettre aux utilisateurs d'accéder à distance au Registre nécessitent un redémarrage du système.

Pour créer la clé de Registre afin de restreindre l'accès au Registre, procédez comme suit :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe) et allez à la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. Dans le menu Edition, cliquez sur Ajouter une clé.
  3. Entrez les valeurs suivantes :
    Nom de la clé : SecurePipeServers
    Classe : REG_SZ
  4. Passez à la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. Dans le menu Edition, cliquez sur Ajouter une clé.
  6. Entrez les valeurs suivantes :
    Nom de la clé : winreg
    Classe : REG_SZ
  7. Passez à la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. Dans le menu Edition, cliquez sur Ajouter une valeur.
  9. Entrez les valeurs suivantes :
    Nom de la valeur : Description
    Type de données : REG_SZ
    Chaîne : Serveur de Registre
  10. Passez à la sous-clé suivante.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Sélectionnez « winreg ». Cliquez sur le menu Sécurité, puis sur Autorisations. Ajoutez les utilisateurs ou les groupes auxquels vous souhaitez accorder l'accès.
  12. Quittez l'Éditeur du Registre et redémarrez Windows.
  13. Si vous souhaitez modifier ultérieurement la liste des utilisateurs qui peuvent accéder au Registre, répétez les étapes 10 à 12.

Contournement de la restriction d'accès

Certains services ont besoin d'accéder au Registre pour fonctionner correctement. Par exemple, les services Réplicateur d'annuaire et Spouleur lorsque la connexion à une imprimante sur le réseau nécessite l'accès à distance au Registre.

Vous pouvez ajouter le nom du compte que le service exécute sous la liste d'accès à la clé « winreg » ou vous pouvez configurer Windows pour qu'il contourne la restriction d'accès à certaines clés en les répertoriant dans la valeur Machine ou Users sous la clé AllowedPaths.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Valeur :        Machine
   Type de la valeur :   REG_MULTI_SZ - Chaîne multiple
   Données par défaut : System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 System\CurrentControlSet\Services\Replicator

   Valeurs possibles :  Un chemin d'accès valide vers un emplacement dans le Registre.
   Description :  Autorise l'accès des ordinateurs aux emplacements répertoriés dans le
                 Registre à condition qu'aucune restriction d'accès explicite
                 n'existe pour cet emplacement.

   Valeur :        Users
   Type de la valeur :   REG_MULTI_SZ - Chaîne multiple
   Données par défaut : (aucune)
   Valeurs possibles :  Un chemin d'accès valide vers un emplacement dans le Registre.
   Description :  Autorise l'accès des utilisateurs aux emplacements répertoriés dans le
                 Registre à condition qu'aucune restriction d'accès explicite
                 n'existe pour cet emplacement. 
Légère modification dans Windows 2000 et versions ultérieures :
   Valeur :        Machine
   Type de la valeur :   REG_MULTI_SZ - Chaîne multiple
   Données par défaut : System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 system\CurrentControlSet\control\Server Applications
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 
   Valeur :  Users - N'existe pas par défaut. 
Pour plus d'informations sur la façon d'accéder par programme au Registre Windows et d'appliquer la sécurité à une clé de Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
146906 Comment faire pour sécuriser les données de performance dans Windows 2000, Windows NT et Windows XP


Remarque Il est possible d'obtenir l'accès à distance au Registre après avoir appliqué les étapes décrites dans cet article si la valeur du Registre RestrictNullSessAccess a été créée et définie sur 0. Cette valeur autorise l'accès à distance au Registre à l'aide d'une session nulle. La valeur remplace les autres paramètres restrictifs explicites.

Propriétés

Numéro d'article: 153183 - Dernière mise à jour: vendredi 24 mars 2006 - Version: 8.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbnetwork KB153183
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com