Delphi-PRAXiS - ACLS.bat - is das System so sicher?

Hallo DPler :hi:
bei uns in der Schule beträue ich die PCs im "äußeren Netz"(also die, die nicht in den Info-Sälen stehen). Per Zufall is mir aufgefallen, dass sich auf manchen Rechnern in der Bibliothek Programme befinden, die eigentlich gar nicht da drauf sein können(XAMPP(Apache, MySQL, ...), GoogleEarth, IRC-Programme, ...). Abgesehen davon, dass manche an sich schon ein Sicherheits Risiko darstellen(Apache), zeigt das ja, dass man ohne Andmin-Rechte einfach so was installieren konnte...

Da ich keine Ahnung hab, wie die Rechte da verteilt sind(das hat mein Vorgänger gemacht), hab ich mal die Batch-Datei, die mein Vorgänger wahrscheinhlich dafür benutzt hat, überarbeitet - in der Hoffnung, dass sich damit sowas verhindern lässt.

Da ich damit noch keine Erfahrungen gemacht hab(Hab die Datei nur aufgrund der schon vorhandenen und der DOS-Hilfe erstellt), wollte ich fragen, ob jemach da evtl. mehr Ahnung hat. Gibts sonstwo noch Sicherheitslücken? Kann man das besser machen? Hab ich irgendwas nicht beachtet?

Code:

			@echo off

REM j und #13#10 in Datei speichern ==> Bestätigung

echo j> c:\temp\j

REM erstmal so wenig Rechte wie möglich

CACLS c:\ /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j

REM TODO is das nötig?

CACLS c:\* /C /T /P Jeder:N Hauptbenutzer:R ERSTELLER-BESITZER:R Administratoren:F SYSTEM:F < c:\temp\j

REM c:\ lesbar machen

CACLS c:\ /C /G Administratoren:F Jeder:R Hauptbenutzer:C ERSTELLER-BESITZER:R SYSTEM:F < c:\temp\j

REM ------------------------Programme-------------------------------------------

CACLS c:\Programme /C /E /G Benutzer:R Hauptbenutzer:R

CACLS c:\TP\USER /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F

CACLS c:\TP\BIN\turbo.tp /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\Programme\Borland\Delphi6 /C /T /E /G Benutzer:R Hauptbenutzer:R

CACLS C:\Programme\Borland\Delphi6\Projects /C /T /E /G Benutzer:C ERSTELLER-BESITZER:F

CACLS C:\Programme\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F

IF NOT EXIST C:\Programme\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini

CACLS C:\Programme\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\DfW5\Users /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F

IF NOT EXIST C:\DfW5\Dfw.ini echo. > C:\Programme\DfW5\Dfw.ini

CACLS C:\DfW5\Dfw.ini /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\Programme\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\Programme\DynaGeo /C /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F

CACLS c:\DynaGeo /C /T /E /G Benutzer:C Hauptbenutzer:C ERSTELLER-BESITZER:F

CACLS C:\DynaGeo\DynaGeo.ini /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\MatheAss\Ma80.ini  /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\Programme\MatheAss\Ma80.ini  /C /E /G Benutzer:C Hauptbenutzer:C

REM -----------------------System-Rechte----------------------------------------

REM TODO: Benutzer Zugriff(R) gewähren?

CACLS C:\WINNT /C /E /G Hauptbenutzer:R

CACLS c:\TEMP /C /T /E /G Jeder:C

CACLS c:\Recycler /C /T /E /G Jeder:C

CACLS C:\WINNT\Cookies /C /T /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\WINNT\History /C /T /E /G Benutzer:C Hauptbenutzer:C

CACLS "C:\WINNT\Temporary Internet Files" /C /T /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\WINNT\Verlauf /C /T /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\WINNT\ShellIconCache /C /E /G Benutzer:C Hauptbenutzer:C

CACLS C:\WINNT\repair /C /T /G Administratoren:F SYSTEM:F < c:\temp\j

CACLS C:\WINNT\system /C /E /G Hauptbenutzer:C

CACLS C:\WINNT\Profiles /C /T /G Administratoren:F SYSTEM:F < c:\temp\j

CACLS C:\WINNT\Profiles /C /E /G Jeder:R

CACLS C:\WINNT\Profiles\Administrator /C /T /E /G Administrator:F

CACLS C:\WINNT\Profiles\Lehrer /C /T /E /G Lehrer:F

CACLS C:\WINNT\Profiles\Sch&#65533;ler /C /T /E /G Benutzer:F Lehrer:F

CACLS "C:\WINNT\Profiles\Default User" /C /T /E /G Jeder:R

CACLS "C:\WINNT\Profiles\All Users" /C /T /E /G Jeder:R

CACLS "C:\WINNT\Profiles\All Users\Desktop" /C /E /G Jeder:R Hauptbenutzer:C

CACLS "C:\WINNT\Profiles\All Users\Startmen&#65533;" /C /E /G Hauptbenutzer:C

CACLS "C:\WINNT\Profiles\All Users\Startmen&#65533;\Programme" /C /E /G Hauptbenutzer:C

CACLS "C:\WINNT\Profiles\All Users\Anwendungsdaten" /C /E /G  "Authentifizierte Benutzer":R Hauptbenutzer:C

CACLS C:\WINNT\system32\*.exe /C /E /R Hauptbenutzer

CACLS C:\WINNT\system32\*.drv /C /E /R Hauptbenutzer

CACLS C:\WINNT\system32\*.sys /C /E /R Hauptbenutzer

CACLS C:\WINNT\system32\*.inf /C /E /R Hauptbenutzer

CACLS C:\WINNT\system32\*.ini /C /E /R Hauptbenutzer

CACLS C:\WINNT\system32\*.exe /C /E /R Benutzer

CACLS C:\WINNT\system32\*.drv /C /E /R Benutzer

CACLS C:\WINNT\system32\*.sys /C /E /R Benutzer

CACLS C:\WINNT\system32\*.inf /C /E /R Benutzer

CACLS C:\WINNT\system32\*.ini /C /E /R Benutzer

CACLS C:\WINNT\system32\*.cpl /C /E /R Jeder

CACLS C:\WINNT\system32\drivers /C /T /E /R Hauptbenutzer

CACLS C:\WINNT\system32\config /C /T /G Administratoren:F SYSTEM:F < c:\temp\j

DEL /S /F /Q c:\temp\*.*

:ende

Noch n paar Infos zu den Rechnern:
- WinNT 4+SP6(ja, ich weiß, wenn sich die Möglichkeit ergibt, werd ich das auf Win2000 umstellen)
- Benutzerkonten: Administrator(klar), Lehrer(Mitglied der Gruppen Benutzer und Hauptbenutzer), Schüler(Mitglied der Gruppe Benutzer)

mfg

Christian