 |
 |
 |
 |
 |
|
Antwort
|
|
Registriert seit: 9. Mai 2005 Ort: Nordbaden 925 Beiträge |
#1
ACLS.bat - is das System so sicher?
27. Jan 2006, 17:58
Hallo DPler
 bei uns in der Schule beträue ich die PCs im "äußeren Netz"(also die, die nicht in den Info-Sälen stehen). Per Zufall is mir aufgefallen, dass sich auf manchen Rechnern in der Bibliothek Programme befinden, die eigentlich gar nicht da drauf sein können(XAMPP(Apache, MySQL, ...), GoogleEarth, IRC-Programme, ...). Abgesehen davon, dass manche an sich schon ein Sicherheits Risiko darstellen(Apache), zeigt das ja, dass man ohne Andmin-Rechte einfach so was installieren konnte... Da ich keine Ahnung hab, wie die Rechte da verteilt sind(das hat mein Vorgänger gemacht), hab ich mal die Batch-Datei, die mein Vorgänger wahrscheinhlich dafür benutzt hat, überarbeitet - in der Hoffnung, dass sich damit sowas verhindern lässt. Da ich damit noch keine Erfahrungen gemacht hab(Hab die Datei nur aufgrund der schon vorhandenen und der DOS-Hilfe erstellt), wollte ich fragen, ob jemach da evtl. mehr Ahnung hat. Gibts sonstwo noch Sicherheitslücken? Kann man das besser machen? Hab ich irgendwas nicht beachtet?
Code:
Noch n paar Infos zu den Rechnern:
@echo off
REM j und #13#10 in Datei speichern ==> Bestätigung echo j> c:\temp\j REM erstmal so wenig Rechte wie möglich CACLS c:\ /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j REM TODO is das nötig? CACLS c:\* /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j REM c:\ lesbar machen CACLS c:\ /C /G Administratoren:F Jeder:R Hauptbenutzer:C ERSTELLER-BESITZER:R SYSTEM:F < c:\temp\j REM ------------------------Programme------------------------------------------- CACLS c:\Programme /C /E /G Benutzer:R Hauptbenutzer:R CACLS c:\TP\USER /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F CACLS c:\TP\BIN\turbo.tp /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\Borland\Delphi6 /C /T /E /G Benutzer:R Hauptbenutzer:R CACLS C:\Programme\Borland\Delphi6\Projects /C /T /E /G Benutzer:C ERSTELLER-BESITZER:F CACLS C:\Programme\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F IF NOT EXIST C:\Programme\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini CACLS C:\Programme\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F IF NOT EXIST C:\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini CACLS C:\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\DynaGeo /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F CACLS c:\DynaGeo /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F CACLS C:\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\MatheAss\Ma80.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\MatheAss\Ma80.ini /C /E /G Benutzer:C Hauptbenutzer:C REM -----------------------System-Rechte---------------------------------------- REM TODO: Benutzer Zugriff(R) gewähren? CACLS C:\WINNT /C /E /G Hauptbenutzer:R CACLS c:\TEMP /C /T /E /G Jeder:C CACLS c:\Recycler /C /T /E /G Jeder:C CACLS C:\WINNT\Cookies /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\History /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS "C:\WINNT\Temporary Internet Files" /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\Verlauf /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\ShellIconCache /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\repair /C /T /G Administratoren:F SYSTEM:F < c:\temp\j CACLS C:\WINNT\system /C /E /G Hauptbenutzer:C CACLS C:\WINNT\Profiles /C /T /G Administratoren:F SYSTEM:F < c:\temp\j CACLS C:\WINNT\Profiles /C /E /G Jeder:R CACLS C:\WINNT\Profiles\Administrator /C /T /E /G Administrator:F CACLS C:\WINNT\Profiles\Lehrer /C /T /E /G Lehrer:F CACLS C:\WINNT\Profiles\Sch�ler /C /T /E /G Benutzer:F Lehrer:F CACLS "C:\WINNT\Profiles\Default User" /C /T /E /G Jeder:R CACLS "C:\WINNT\Profiles\All Users" /C /T /E /G Jeder:R CACLS "C:\WINNT\Profiles\All Users\Desktop" /C /E /G Jeder:R Hauptbenutzer:C CACLS "C:\WINNT\Profiles\All Users\Startmen�" /C /E /G Hauptbenutzer:C CACLS "C:\WINNT\Profiles\All Users\Startmen�\Programme" /C /E /G Hauptbenutzer:C CACLS "C:\WINNT\Profiles\All Users\Anwendungsdaten" /C /E /G "Authentifizierte Benutzer":R Hauptbenutzer:C CACLS C:\WINNT\system32\*.exe /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.drv /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.sys /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.inf /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.ini /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.exe /C /E /R Benutzer CACLS C:\WINNT\system32\*.drv /C /E /R Benutzer CACLS C:\WINNT\system32\*.sys /C /E /R Benutzer CACLS C:\WINNT\system32\*.inf /C /E /R Benutzer CACLS C:\WINNT\system32\*.ini /C /E /R Benutzer CACLS C:\WINNT\system32\*.cpl /C /E /R Jeder CACLS C:\WINNT\system32\drivers /C /T /E /R Hauptbenutzer CACLS C:\WINNT\system32\config /C /T /G Administratoren:F SYSTEM:F < c:\temp\j DEL /S /F /Q c:\temp\*.* :ende - WinNT 4+SP6(ja, ich weiß, wenn sich die Möglichkeit ergibt, werd ich das auf Win2000 umstellen) - Benutzerkonten: Administrator(klar), Lehrer(Mitglied der Gruppen Benutzer und Hauptbenutzer), Schüler(Mitglied der Gruppe Benutzer) mfg Christian
Kaum macht man's richtig, schon klappts!
|
Zitat
|
Registriert seit: 13. Aug 2002 17.171 Beiträge Delphi 10.4 Sydney |
#2
Re: ACLS.bat - is das System so sicher?
28. Jan 2006, 11:57
Windows Vista - Eine neue Erfahrung in Fehlern.
|
|
Zitat
|
|
Registriert seit: 3. Dez 2005 36 Beiträge |
#3
Re: ACLS.bat - is das System so sicher?
28. Jan 2006, 13:31
|
|
Zitat
|
|
Registriert seit: 9. Mai 2005 Ort: Nordbaden 925 Beiträge |
#4
Re: ACLS.bat - is das System so sicher?
28. Jan 2006, 14:02
Zitat von Bernhard Geyer:
- Wieso noch Win2000. Der Support läuft hier auch schon aus (bzw. in Kurze) und damit werden von MS Fixes unter umständen nur noch konstenpflichtig bereitgestellt.
 Da is schon fast Win2000 "ristkant"...
Zitat:
- Image-Technik. Haben die PC's ähnliche/gleiche Hardware? Falls ja erstell dir ein Image und verkünde das persönliche Daten nur noch auf den Servern vorgehalten werden und die Clients bei "Bedarf"/Regelmäßig mit dem Image in den Urzustand zurückgesetzt werden.
Zitat:
- Firewall konfigurieren: Richte evtl. lokale Firewalls ein welche nur noch bestimmte Programme "rauslassen". Damit kann man zwar Apache oder Google Earth installieren aber ohne Admin-Rechte sollte die Firewall nicht mehr überlistet werden können.
Zitat von thomasw:
Es handelt sich nicht um Sicherheitslücken sondern um miserabel konfigurierte Systeme.
 [1] Das zeigt sich dadurch, dass a) auch nützliche Ports blockiert sind(21, 25) und b) der DHCP in etwa so schnell reagiert, wie ne Schlaftablette auf Drogen(nach ca. 10 mal anschließen und 3 bis 4 Tagen merkt der erst: "oh, n neuer Client; sollten wir dem mal ne IP verpassen...hm... ")  mfg Christian
Kaum macht man's richtig, schon klappts!
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
