Systemdienst "unkillbar"
 

Hallo,
ich habe ein Programm (als Systemdienst) geschrieben, das in einer Dömanenumgebung mit ca. 140 Clients den Internetzugang für jeden Rechner blocken oder freischalten kann. Die Freigabe bzw. Sperrung erfolgt über ein externes Programm. Auf jedem Rechner läuft nur der Systemdienst; nennen wir ihn i-aus.
Wie kann ich verhindern, dass der Task i-aus abgeschossen wird? In den Benutzerrichtlinien ist der Taskmanager natürlich ausgeschaltet. "Leider" gibt es aber Programme, die ohne Installation (auch dieses ist unterbunden) Tasks "killen" können. Mein Systemdienst muss also "unkillbar" sein. Ich habe bisher noch keine Lösung gefunden. Habt ihr eine?

Re: Systemdienst "unkillbar"
 

hi und herzlich willkommen in der DP :hi:

sofern du WindowsXP einsetzt, kannst du doch einfach einen Dienst ausführen, den man als normaler benutzer nicht beenden darf.
solche dienste erscheinen noch nichtmal im taskmanager.

aenogym

Re: Systemdienst "unkillbar"
 

außerdem gibt es noch die möglichkeit von "watchdog"-prozessen, die sich gegenseitig checken und wenn einer abgeschossen wird ihn wieder starten.

Re: Systemdienst "unkillbar"
 

[quote="Aenogym"]hi und herzlich willkommen in der DP :hi:
danke

hmm, alle Rechner arbeiten mit XP, die Domäne mit Server2003. Kenne aber keine Möglichkeit (in Delphi) ein Programm vor speziellen Programmen (z.b. Security Task Manager) zu verstecken und damit vor dem "killen" zu bewahren.

Mein Programm läuft als Systemdienst auf den Client-Rechnern und wird in Abhängigkeit vom jeweiligen User gestartet. Es holt sich dann vom Server die Information zur Sperrung oder Freischaltung und kann dann je nach Einstellung a) den Browser beenden, b) die Proxy-Information in der Registry verändern oder c) Ports schliessen.

Natürlich überwachen sich zwei Systemdienste und starten sich gegenseitig. Leider kann amn auch zwei Prozesse markieren und gleichzeitig abschiessen. Und da liegt das Problem.

Re: Systemdienst "unkillbar"
 

wie wärs, wenn du deinen watchdog als shell extension in den Explorer integrierst? der typische DAU wird den nicht so schnell finden. natürlich ist das "security by obscurity" und mit vorsicht zu genießen, aber wenns hilft...

Und du kannst wirklich nicht die benutzer entsprechend einschränken? Tja, Windows halt....

Re: Systemdienst "unkillbar"
 

[quote="heinotto"]Eigentlich ist das der Falsche weg man Blockiert den Inet zugriff auf der Hauptfirewall einfach für die entsprechenden PC's ist doch viel einfacher als das einzelnt auf jedem PC zu macehn und sogarfür gibts fertige lösungen.

Re: Systemdienst "unkillbar"
 

So kann man aber einzelnen Usern das I-Net freischalten^^
Und das ist meines Erachtens deutlich flexibler, wenn noch mehr PCs über die selbe Firewall gehen, blockst du trotzdem alle.

mfG

Markus

Re: Systemdienst "unkillbar"
 

Der Anhang in diesem Beitrag sollte dir helfen. Dort ist ein Beispielprogramm, das sich, zumindestens mit den typischen Windows - Bordmitteln, nicht abschießen lässt...

Re: Systemdienst "unkillbar"
 

Mit einer guten Firewall bzw entsprechender Software die auf dem Server läuft ist auch das einzelnde Blockieren von Internetzugriffen spezieller Rechner kein Problem.. ;)

Re: Systemdienst "unkillbar"
 

ich denke, ich muss etwas weiter ausholen. natürlich kann ich als administrator auf dem server alles und einzeln blockieren, aber...

nehmen wir mal an, wir sind eine schule mit ca. 900 accounts, diese als lehrer und schüler differenziert. es sind 9 pc-räume verfügbar. lehrer bekommen (egal auf welchem rechner sie sich einloggen) ein programm, mit denen sie (in abhängigkeit vom jeweiligen Raum) die angemeldeten user blockieren oder freischalten können und dies ohne zugriff auf administratorenerechte bzw. das active directory. dieses und natürlich noch einiges mehr leistet das programm und... es ist so einfach gestrickt, das ALLE DA-LEHRER keine Fehler machen können.

sein einziger makel ist, dass es "gekillt" werden kann. Und dafür suche ich eine lösung.

Re: Systemdienst "unkillbar"
 

Wir an unserer Schule haben einen Proxy, die Lehrer können das Internet Klassenweise abschalten. Die Lösung das jeder Schüler ein Account hat und der Lehrer das Internet am Proxy über jeden PC ausschalten kann ist zwar für uns nicht gut aber es funktioniert wunderbar, wie das genau funktioniert weiss ich nicht aber ich glaube es werden bei uns Windows Server benutzt.

Re: Systemdienst "unkillbar"
 

Oder du hookst den die Process Termination.

Re: Systemdienst "unkillbar"
 

Ein normaler Dienst der als SYSTEM läuft, sollte kaum von einem Schüler killbar sein. Es ist also nichts, worum man sich Gedanken machen muß, wenn die Rechtevergabe sauber geschehen ist.

Eine Variante die meistens funktioniert wäre, daß ein Dienst auf die (konfigurierbare) Gruppenmitgliedschaft (Domain\Lehrer) prüft und dann die Aufgabe für den Lehrer erledigt. So funktionieren z.B. jene Dienste von Brennprogrammen, die es dem Benutzer erlauben auch ohne spezielle Privilegien eine CD zu brennen.

Re: Systemdienst "unkillbar"
 

Was ist, wenn man einen anderen Browser benutzt?

Re: Systemdienst "unkillbar"
 

Ich würde den Dienst wirklich aufm system-konto laufen lassen, und nicht irgendwo zwischen user und system, und das von anfang an, also auch schon bei der anmeldung. Wenn sich nun ein Schüler anmeldet, sollte der in der regel nicht die rechte dazu haben diesen dienst zu killen, da er schliesslich dem system gehört. Vom Dienst aus sollte es nun kein größeres Problem sein, herauszufinden, ob der computer grad an der anmeldung ist, oder ob sich ein lehrer, oder ein schüler angemeldet hat, und dementsprechend sollte er sich dann auch verhalten. (ich denke das is die von olli beschriebene variante)

"Watchdog-Prozesse" sind auf einem "Multitasking"-System meinermeinung nach eh sinnlos, denn wer weis (abgesehen vom system selbst), wer seinen befehl zuerst ausführen darf, der watchdog-prozess oder der taskmanager?

Desweiteren würde ich auch nicht mit irgendwelchen "systemhacks" rumspielen, die z.B. über hooks versuchen das unvermeidliche zu vermeiden, denn dann kommt irgendein taskmanager auf treiberbasis daher, und dann siehst du alt aus (z.B. Process Explorer von sysinternals, oder TaskInfo, usw.).

Und da du ja der admin bist, musst du dieses recht auch ausnutzen, und nicht versuchen irgendwelche mechanismen deines systems auszuhebeln, denn es ist wie gesagt *dein* system ;) .

Da ich selbst schüler an einer schule mit 3 computerräumen und einem internetcafé bin, weis ich auch, was man da alles anstellen kann ... so hab ich jetzt beinahe mehr rechte als der admin selbst ... :angel2: (er weis es nur nicht :mrgreen: )

Achja, die internetsperre wird bei uns auch "global" gehandhabt, für jeden computerraum geht das inet über einen proxy aufm lehrerrechner, den der lehrer dann nach belieben starten oder beenden kann (wobei ich da ein paar kleine wörtchen in den links verändert hab :angel2: ). Dadurch entsteht zwar das nadelöhr lehrerrechner, aber das muss man in kauf nehmen. Man könnte natürlich in diesem proxy auch die internetverbindung für eine bestimmte ip blockieren, soweit man sich ein verwaltungsprogramm dafür schreibt.

ciao, Philipp