AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme ACLS.bat - is das System so sicher?
Thema durchsuchen
Ansicht
Themen-Optionen

ACLS.bat - is das System so sicher?

Ein Thema von r2c2 · begonnen am 27. Jan 2006 · letzter Beitrag vom 28. Jan 2006
Antwort Antwort
r2c2

Registriert seit: 9. Mai 2005
Ort: Nordbaden
925 Beiträge
 
#1

ACLS.bat - is das System so sicher?

  Alt 27. Jan 2006, 18:58
Hallo DPler
bei uns in der Schule beträue ich die PCs im "äußeren Netz"(also die, die nicht in den Info-Sälen stehen). Per Zufall is mir aufgefallen, dass sich auf manchen Rechnern in der Bibliothek Programme befinden, die eigentlich gar nicht da drauf sein können(XAMPP(Apache, MySQL, ...), GoogleEarth, IRC-Programme, ...). Abgesehen davon, dass manche an sich schon ein Sicherheits Risiko darstellen(Apache), zeigt das ja, dass man ohne Andmin-Rechte einfach so was installieren konnte...

Da ich keine Ahnung hab, wie die Rechte da verteilt sind(das hat mein Vorgänger gemacht), hab ich mal die Batch-Datei, die mein Vorgänger wahrscheinhlich dafür benutzt hat, überarbeitet - in der Hoffnung, dass sich damit sowas verhindern lässt.

Da ich damit noch keine Erfahrungen gemacht hab(Hab die Datei nur aufgrund der schon vorhandenen und der DOS-Hilfe erstellt), wollte ich fragen, ob jemach da evtl. mehr Ahnung hat. Gibts sonstwo noch Sicherheitslücken? Kann man das besser machen? Hab ich irgendwas nicht beachtet?

Code:
@echo off

REM j und #13#10 in Datei speichern ==> Bestätigung
echo j> c:\temp\j

REM erstmal so wenig Rechte wie möglich
CACLS c:\ /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j
REM TODO is das nötig?
CACLS c:\* /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j

REM c:\ lesbar machen
CACLS c:\ /C /G Administratoren:F Jeder:R Hauptbenutzer:C ERSTELLER-BESITZER:R SYSTEM:F < c:\temp\j

REM ------------------------Programme-------------------------------------------
CACLS c:\Programme /C /E /G Benutzer:R Hauptbenutzer:R

CACLS c:\TP\USER /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F
CACLS c:\TP\BIN\turbo.tp /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\Programme\Borland\Delphi6 /C /T /E /G Benutzer:R Hauptbenutzer:R
CACLS C:\Programme\Borland\Delphi6\Projects /C /T /E /G Benutzer:C ERSTELLER-BESITZER:F

CACLS C:\Programme\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F
IF NOT EXIST C:\Programme\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini
CACLS C:\Programme\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C
CACLS C:\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F
IF NOT EXIST C:\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini
CACLS C:\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\Programme\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C
CACLS C:\Programme\DynaGeo /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F
CACLS c:\DynaGeo /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F
CACLS C:\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\MatheAss\Ma80.ini /C /E /G Benutzer:C Hauptbenutzer:C
CACLS C:\Programme\MatheAss\Ma80.ini /C /E /G Benutzer:C Hauptbenutzer:C

REM -----------------------System-Rechte----------------------------------------

REM TODO: Benutzer Zugriff(R) gewähren?
CACLS C:\WINNT /C /E /G Hauptbenutzer:R

CACLS c:\TEMP /C /T /E /G Jeder:C
CACLS c:\Recycler /C /T /E /G Jeder:C

CACLS C:\WINNT\Cookies /C /T /E /G Benutzer:C Hauptbenutzer:C
CACLS C:\WINNT\History /C /T /E /G Benutzer:C Hauptbenutzer:C
CACLS "C:\WINNT\Temporary Internet Files" /C /T /E /G Benutzer:C Hauptbenutzer:C
CACLS C:\WINNT\Verlauf /C /T /E /G Benutzer:C Hauptbenutzer:C
CACLS C:\WINNT\ShellIconCache /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\WINNT\repair /C /T /G Administratoren:F SYSTEM:F < c:\temp\j
CACLS C:\WINNT\system /C /E /G Hauptbenutzer:C

CACLS C:\WINNT\Profiles /C /T /G Administratoren:F SYSTEM:F < c:\temp\j
CACLS C:\WINNT\Profiles /C /E /G Jeder:R
CACLS C:\WINNT\Profiles\Administrator /C /T /E /G Administrator:F
CACLS C:\WINNT\Profiles\Lehrer /C /T /E /G Lehrer:F
CACLS C:\WINNT\Profiles\Sch&#65533;ler /C /T /E /G Benutzer:F Lehrer:F
CACLS "C:\WINNT\Profiles\Default User" /C /T /E /G Jeder:R
CACLS "C:\WINNT\Profiles\All Users" /C /T /E /G Jeder:R
CACLS "C:\WINNT\Profiles\All Users\Desktop" /C /E /G Jeder:R Hauptbenutzer:C
CACLS "C:\WINNT\Profiles\All Users\Startmen&#65533;" /C /E /G Hauptbenutzer:C
CACLS "C:\WINNT\Profiles\All Users\Startmen&#65533;\Programme" /C /E /G Hauptbenutzer:C
CACLS "C:\WINNT\Profiles\All Users\Anwendungsdaten" /C /E /G "Authentifizierte Benutzer":R Hauptbenutzer:C

CACLS C:\WINNT\system32\*.exe /C /E /R Hauptbenutzer
CACLS C:\WINNT\system32\*.drv /C /E /R Hauptbenutzer
CACLS C:\WINNT\system32\*.sys /C /E /R Hauptbenutzer
CACLS C:\WINNT\system32\*.inf /C /E /R Hauptbenutzer
CACLS C:\WINNT\system32\*.ini /C /E /R Hauptbenutzer
CACLS C:\WINNT\system32\*.exe /C /E /R Benutzer
CACLS C:\WINNT\system32\*.drv /C /E /R Benutzer
CACLS C:\WINNT\system32\*.sys /C /E /R Benutzer
CACLS C:\WINNT\system32\*.inf /C /E /R Benutzer
CACLS C:\WINNT\system32\*.ini /C /E /R Benutzer
CACLS C:\WINNT\system32\*.cpl /C /E /R Jeder
CACLS C:\WINNT\system32\drivers /C /T /E /R Hauptbenutzer
CACLS C:\WINNT\system32\config /C /T /G Administratoren:F SYSTEM:F < c:\temp\j

DEL /S /F /Q c:\temp\*.*

:ende
Noch n paar Infos zu den Rechnern:
- WinNT 4+SP6(ja, ich weiß, wenn sich die Möglichkeit ergibt, werd ich das auf Win2000 umstellen)
- Benutzerkonten: Administrator(klar), Lehrer(Mitglied der Gruppen Benutzer und Hauptbenutzer), Schüler(Mitglied der Gruppe Benutzer)

mfg

Christian
Kaum macht man's richtig, schon klappts!
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#2

Re: ACLS.bat - is das System so sicher?

  Alt 28. Jan 2006, 12:57
Das Script habe ich mir nicht angeschaut aber folgende Anmerkungen/Vorschläge:

- Wieso noch Win2000. Der Support läuft hier auch schon aus (bzw. in Kurze) und damit werden von MS Fixes unter umständen nur noch konstenpflichtig bereitgestellt.

- Image-Technik. Haben die PC's ähnliche/gleiche Hardware? Falls ja erstell dir ein Image und verkünde das persönliche Daten nur noch auf den Servern vorgehalten werden und die Clients bei "Bedarf"/Regelmäßig mit dem Image in den Urzustand zurückgesetzt werden.

- Firewall konfigurieren: Richte evtl. lokale Firewalls ein welche nur noch bestimmte Programme "rauslassen". Damit kann man zwar Apache oder Google Earth installieren aber ohne Admin-Rechte sollte die Firewall nicht mehr überlistet werden können.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
thomasw

Registriert seit: 3. Dez 2005
36 Beiträge
 
#3

Re: ACLS.bat - is das System so sicher?

  Alt 28. Jan 2006, 14:31
Es handelt sich nicht um Sicherheitslücken sondern um miserabel konfigurierte Systeme.
  Mit Zitat antworten Zitat
r2c2

Registriert seit: 9. Mai 2005
Ort: Nordbaden
925 Beiträge
 
#4

Re: ACLS.bat - is das System so sicher?

  Alt 28. Jan 2006, 15:02
Zitat von Bernhard Geyer:
- Wieso noch Win2000. Der Support läuft hier auch schon aus (bzw. in Kurze) und damit werden von MS Fixes unter umständen nur noch konstenpflichtig bereitgestellt.
Auf n K6 mit 300MHz? Da is schon fast Win2000 "ristkant"...

Zitat:
- Image-Technik. Haben die PC's ähnliche/gleiche Hardware? Falls ja erstell dir ein Image und verkünde das persönliche Daten nur noch auf den Servern vorgehalten werden und die Clients bei "Bedarf"/Regelmäßig mit dem Image in den Urzustand zurückgesetzt werden.
Das erübrigt sich. Hardware total unterschiedlich. Wenn mal 4 oder 5 die selbe Hardware haben is das ne Seltenheit...

Zitat:
- Firewall konfigurieren: Richte evtl. lokale Firewalls ein welche nur noch bestimmte Programme "rauslassen". Damit kann man zwar Apache oder Google Earth installieren aber ohne Admin-Rechte sollte die Firewall nicht mehr überlistet werden können.
Hm... wär ne Idee, wobei sich da der Aufwand nicht lohnt. Das Netz ist ducrh n total Fehlkonfigurierten[1] Server/Router mit integrierter Firewall geschützt

Zitat von thomasw:
Es handelt sich nicht um Sicherheitslücken sondern um miserabel konfigurierte Systeme.
Es handelt sich um Sicherheitslücken, die durch miserabel konfigurierte Systeme entstehen.

[1] Das zeigt sich dadurch, dass a) auch nützliche Ports blockiert sind(21, 25) und b) der DHCP in etwa so schnell reagiert, wie ne Schlaftablette auf Drogen(nach ca. 10 mal anschließen und 3 bis 4 Tagen merkt der erst: "oh, n neuer Client; sollten wir dem mal ne IP verpassen...hm... ")

mfg

Christian
Kaum macht man's richtig, schon klappts!
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:30 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz