 |
 |
 |
 |
 |
|
|
Registriert seit: 9. Mai 2005 Ort: Nordbaden 925 Beiträge |
#1
ACLS.bat - is das System so sicher?
27. Jan 2006, 17:58
Hallo DPler
 bei uns in der Schule beträue ich die PCs im "äußeren Netz"(also die, die nicht in den Info-Sälen stehen). Per Zufall is mir aufgefallen, dass sich auf manchen Rechnern in der Bibliothek Programme befinden, die eigentlich gar nicht da drauf sein können(XAMPP(Apache, MySQL, ...), GoogleEarth, IRC-Programme, ...). Abgesehen davon, dass manche an sich schon ein Sicherheits Risiko darstellen(Apache), zeigt das ja, dass man ohne Andmin-Rechte einfach so was installieren konnte... Da ich keine Ahnung hab, wie die Rechte da verteilt sind(das hat mein Vorgänger gemacht), hab ich mal die Batch-Datei, die mein Vorgänger wahrscheinhlich dafür benutzt hat, überarbeitet - in der Hoffnung, dass sich damit sowas verhindern lässt. Da ich damit noch keine Erfahrungen gemacht hab(Hab die Datei nur aufgrund der schon vorhandenen und der DOS-Hilfe erstellt), wollte ich fragen, ob jemach da evtl. mehr Ahnung hat. Gibts sonstwo noch Sicherheitslücken? Kann man das besser machen? Hab ich irgendwas nicht beachtet?
Code:
Noch n paar Infos zu den Rechnern:
@echo off
REM j und #13#10 in Datei speichern ==> Bestätigung echo j> c:\temp\j REM erstmal so wenig Rechte wie möglich CACLS c:\ /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j REM TODO is das nötig? CACLS c:\* /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j REM c:\ lesbar machen CACLS c:\ /C /G Administratoren:F Jeder:R Hauptbenutzer:C ERSTELLER-BESITZER:R SYSTEM:F < c:\temp\j REM ------------------------Programme------------------------------------------- CACLS c:\Programme /C /E /G Benutzer:R Hauptbenutzer:R CACLS c:\TP\USER /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F CACLS c:\TP\BIN\turbo.tp /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\Borland\Delphi6 /C /T /E /G Benutzer:R Hauptbenutzer:R CACLS C:\Programme\Borland\Delphi6\Projects /C /T /E /G Benutzer:C ERSTELLER-BESITZER:F CACLS C:\Programme\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F IF NOT EXIST C:\Programme\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini CACLS C:\Programme\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F IF NOT EXIST C:\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini CACLS C:\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\DynaGeo /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F CACLS c:\DynaGeo /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F CACLS C:\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\MatheAss\Ma80.ini /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\Programme\MatheAss\Ma80.ini /C /E /G Benutzer:C Hauptbenutzer:C REM -----------------------System-Rechte---------------------------------------- REM TODO: Benutzer Zugriff(R) gewähren? CACLS C:\WINNT /C /E /G Hauptbenutzer:R CACLS c:\TEMP /C /T /E /G Jeder:C CACLS c:\Recycler /C /T /E /G Jeder:C CACLS C:\WINNT\Cookies /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\History /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS "C:\WINNT\Temporary Internet Files" /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\Verlauf /C /T /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\ShellIconCache /C /E /G Benutzer:C Hauptbenutzer:C CACLS C:\WINNT\repair /C /T /G Administratoren:F SYSTEM:F < c:\temp\j CACLS C:\WINNT\system /C /E /G Hauptbenutzer:C CACLS C:\WINNT\Profiles /C /T /G Administratoren:F SYSTEM:F < c:\temp\j CACLS C:\WINNT\Profiles /C /E /G Jeder:R CACLS C:\WINNT\Profiles\Administrator /C /T /E /G Administrator:F CACLS C:\WINNT\Profiles\Lehrer /C /T /E /G Lehrer:F CACLS C:\WINNT\Profiles\Sch�ler /C /T /E /G Benutzer:F Lehrer:F CACLS "C:\WINNT\Profiles\Default User" /C /T /E /G Jeder:R CACLS "C:\WINNT\Profiles\All Users" /C /T /E /G Jeder:R CACLS "C:\WINNT\Profiles\All Users\Desktop" /C /E /G Jeder:R Hauptbenutzer:C CACLS "C:\WINNT\Profiles\All Users\Startmen�" /C /E /G Hauptbenutzer:C CACLS "C:\WINNT\Profiles\All Users\Startmen�\Programme" /C /E /G Hauptbenutzer:C CACLS "C:\WINNT\Profiles\All Users\Anwendungsdaten" /C /E /G "Authentifizierte Benutzer":R Hauptbenutzer:C CACLS C:\WINNT\system32\*.exe /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.drv /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.sys /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.inf /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.ini /C /E /R Hauptbenutzer CACLS C:\WINNT\system32\*.exe /C /E /R Benutzer CACLS C:\WINNT\system32\*.drv /C /E /R Benutzer CACLS C:\WINNT\system32\*.sys /C /E /R Benutzer CACLS C:\WINNT\system32\*.inf /C /E /R Benutzer CACLS C:\WINNT\system32\*.ini /C /E /R Benutzer CACLS C:\WINNT\system32\*.cpl /C /E /R Jeder CACLS C:\WINNT\system32\drivers /C /T /E /R Hauptbenutzer CACLS C:\WINNT\system32\config /C /T /G Administratoren:F SYSTEM:F < c:\temp\j DEL /S /F /Q c:\temp\*.* :ende - WinNT 4+SP6(ja, ich weiß, wenn sich die Möglichkeit ergibt, werd ich das auf Win2000 umstellen) - Benutzerkonten: Administrator(klar), Lehrer(Mitglied der Gruppen Benutzer und Hauptbenutzer), Schüler(Mitglied der Gruppe Benutzer) mfg Christian
Kaum macht man's richtig, schon klappts!
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Baum-Darstellung
