home *** CD-ROM | disk | FTP | other *** search
/ PC World 2007 September / PCWorld_2007-09_cd.bin / v cisle / regdacl / RegDACLE.exe / doc / SMWNCV.cmd < prev   
OS/2 REXX Batch file  |  1999-01-05  |  4KB  |  89 lines
  1. rem This script is only an example for setting permissions on the Registry subtree
  2. rem HKLM\Software\Microsoft\Windows NT\CurrentVersion
  3. rem This list was originally created by David LeBlanc <dleblanc@MINDSPRING.COM>
  4. rem and enhanced by other members of the mailing list ntsecurity@listsev.ntbugtraq.com
  5. rem
  6. rem Use it on your own risk and check if it complies with your security policy
  7. rem prior to running it!
  8. rem
  9. rem If you have comments to this script, please send them to fh@heysoft.de
  10. rem ########################################################################
  11. rem Assumptions Admins:F, System:F on all keys. (no need to change this!)
  12. rem We are also going to skip keys which are properly secured by default.
  13. rem 
  14. rem If a key seems to be only used locally, we recommend setting it to Local.  
  15. rem Setting it to Everyone would allow remote access.
  16.  
  17. rem Now let's really start:
  18.  
  19. rem [AeDebug]
  20. rem Allow Local:R, and write permissions to anyone you want to be able
  21. rem to install a development environment.
  22. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug" /rge /sgL:r
  23.  
  24. rem [Compatibility]
  25. rem Change Everyone:special to Local:read
  26. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility" /rge /sgL:r
  27.  
  28. rem [Drivers]
  29. rem Set to Local:R
  30. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers" /rge /sgL:r
  31.  
  32. rem [drivers.desc]
  33. rem Set to Local:R
  34. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers.desc" /rge /sgL:r
  35.  
  36. rem [Embedding]
  37. rem Possibly only needed by 16-bit apps.
  38. rem Change Everyone:special to Local:R
  39. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding" /rge /sgL:r
  40.  
  41. rem [Fonts] [FontSubstitutes] [GRE_Initialize] and [Image File Execution Options]
  42. Set to Local:R
  43. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Fonts" /rge /sgL:r
  44. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\FontSubstitutes" /rge /sgL:r
  45. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize" /rge /sgL:r
  46. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /rge /sgL:r
  47.  
  48. rem [MCI] [MCI32] and [MCI Extensions]
  49. rem set to Local:R
  50. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI" /rge /sgL:r
  51. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI32" /rge /sgL:r
  52. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions" /rge /sgL:r
  53.  
  54. rem [Midimap]
  55. rem Not sure what this is supposed to be doing - suggest changing to Local:R
  56. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Midimap" /rge /sgL:r
  57.  
  58. rem [Network]
  59. rem Most of this is secure - except a subkey named World Full Access Shared
  60. rem Parameters, which contains something to do with drive mappings.  Proposed
  61. rem change: everyone to Interactive.  This seems like a possible avenue of
  62. rem attack.  I'd like some more information on this one if anyone has it.
  63. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Network\World Full Access Shared Parameters" /sgL:r /sga:f /sgs:f /rge
  64.  
  65. rem [Perflib]
  66. rem Set to Local:R if you want to disallow non-admins the ability to view performance info remotely.
  67. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Perflib" /rge /sgL:r
  68.  
  69. rem [Ports]
  70. rem Change to Local:R
  71. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports" /rge /sgL:r
  72.  
  73. rem [ProfileList]
  74. rem This is perhaps the stickiest problem.  It appears at the moment that this
  75. rem key is only ever read or written by the system.  IF this is the case, then
  76. rem this key can be left with no permissions other than Admins and System:F.
  77. rem If you want to hedge your bets, try Interactive:R.  If anyone finds any
  78. rem evidence of this key or subkeys ever being written by the logged in user,
  79. rem please let us know.
  80. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList" /rge
  81.  
  82. rem [Winlogon]
  83. rem this one may need no additional permissions.
  84. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /rge
  85.  
  86. rem [WOW]
  87. rem Local:R 
  88. regDACL "HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW" /rge /sGL:R
  89.