Sicherheit als Admin?

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von Doofchen, 3. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    Hallo Zusammen,

    hätte 'mal wieder 'ne Frage die ich zu lösen nicht imstande bin.
    Im Forum habe nichts finden können 'gegoogelt' habe ich auch ergebnislos.

    Zur Installation von Programmen usw. muß ich wohl oder übel meinen User als Admin anmelden. Soweit so gut, ich vergesse aber (immer öfter, auf Grund meines Alters) daß ich diese Anmeldung zurücknehme und bin dann ungeschützt im Internet.

    Gibt es die Möglichkeit (wie früher) z.B. eine Batch- bzw./oder eine .pif-Datei zu schreiben welche bei Aufruf des IE oder auch Firefoxes feststellt daß ich eigentlich im Adminmode bin? Eine Warnung bzw. das Verhindern eines Zugriffes wäre nicht schlecht.

    Ist solches möglich und wenn ja - wie ist das zu bewerkstelligen.

    Danke im voraus für Hinweise

    MfG Doofchen
     
  2. uk82

    uk82 Byte

    Registriert seit:
    6. Februar 2001
    Beiträge:
    113
    Ich bin, natürlich entsprechend Geschützt durch Firewall (XP eigene), AntiVirus (Kaspersky) und Microsoft Antispyware Tool, immer als Admin unterwegs. Habe gar kein anderes Konto für mich. Trotzdem bisher keine Probleme (Zufall, Glück oder ist der Rest nur "Panikmache" um etwas zu verkaufen???).

    Ob es ein Script oder Batch dafür gibt kann ich Dir leider auch nicht sagen, dieses Problem stellt sich für mich, wie gesagt, nicht.
     
  3. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Normalerweise ist es ja umgekehrt: Der Admin sperrt einem User den Zugriff aufs Internet.
    Sollte trotzdem machbar sein über Systemsteuerung-Benutzerkonten. Welches Betriebssystem hast du?

    Ohh nein! Du bist lediglich diszipliniert und hast auch das nötige Quentchen Glück. Eingeschränkte Konten sind allerererste Wahl in Sachen Sicherheit. Denn alle Sicherheitssoftware muss im Adminkonto offene Türen schützen, die es im eingeschränkten Konto erst garnicht gibt.
     
  4. uk82

    uk82 Byte

    Registriert seit:
    6. Februar 2001
    Beiträge:
    113
    Oh nein, diszipliniert bin ich nicht.
    Wie bereits angemerkt bin ich lediglich mit meinem Admin-Konto Online. Ich mache dies seit Jahren so (Bequemlichkeit nennt man so etwas, glaub ich....:rolleyes: ). Trotzdem hatte ich noch nie "unwillkommenen Gäste, welche auf meinem Rechner ihr Unwesen trieben".

    Vielleicht hab ich auch nur Glück...........:cool:
     
  5. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.590
    Es gibt da einen Registryeintrag mit dem die Infoleiste des IE verändert werden kann. Dann kann man da ADMINISTRATOR eintragen.
    Bei mir sieht das Adminkonto zur Unterscheidung anders aus als das des Benutzers. Z.B. habe ich da ganz andere Programme in der Schnellstartleiste neben dem Start-Button. Da fehlen dann die Programme zum Surfen.
     
  6. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    Danke erstmal für die Hinweise bis jetzt.

    @steppl, ich habe WINDOW XP HOME

    @deoroller,

    Nicht schlecht, aber falls ein Programm (gewollt oder ungewollt) einen Zugriff auf das Netz macht kann ich das nicht erkennen.

    Ich habe auch schon per Batch an eine Abfrage über die Umgebungsvariabeln gedacht (Username, Userprofile; als Sandbox für den IE und andere Programme), aber aus dem genannten Grund wieder verworfen.

    Interessant wäre es, wenn man eine TCP/IP-Bewegungen gemeldet bekäme - das ist aber vermutlich nur ein Wunschtraum.

    Schöne Grüße Helmut
     
  7. uk82

    uk82 Byte

    Registriert seit:
    6. Februar 2001
    Beiträge:
    113
    Vielleicht ist dies etwas für dich
    http://www.sysinternals.com/Utilities/TcpView.html
     
  8. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    @uk82,

    Danke! Tolles Tool, aber leider nicht für meine Ansatz zu gebrauchen. Im Prinzip macht es genau das was ich erwarten würde, aber ich brauche nur eine Information (eventuell als Funktionswert zurückgegeben) daß irgendeine TCP/IP stattfindet.
    Selbst aus dem Kommandozeilen-Tool wäre es ein irrer Aufwand diese Info zu filtern - außerdem für mich vermutlich ohnehin unmöglich dies zu bewerstelligen.

    Eigentlich schon verrückt! Ein Admin der sich selbst einschränken will.

    Eigentlich eine Herausforderung für echte Gurus.

    Schöne Grüße Helmut
     
  9. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.590
    Du könntest den IE lahmlegen, indem bei der Datei mshtml.dll der Administrator in den Sicheitseinstellungen gelöscht wird.
    Ich bin mir aber über die Nebenwirkungen nicht im klaren, da ich das nur mit dem Benutzer gemacht habe.
    http://oschad.de/wiki/index.php/InternetExplorer
     
  10. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ein guter Geist des Forums flüsterte mir gerade folgende Möglichkeit mittels Batchdatei, welche man mit dem IE verknüpft:

    Der "Username" ist natürlich entsprechend deiner Bezeichnung anzupassen. Ein Versuch ist es wert.
     
  11. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    @steppl,

    sag Deinem guten Geist schönen Dank. Leider ist dies die Lösung, welche ich verwerfen musste (siehe Oben).
    Ich habe mich bei der Problembeschreibung vermutlich etwas unglücklch ausgedrückt.
    Es gibt in einem System ja 3 Administratoren.
    a) System-Admin 'Super-Admin' welcher nach F8 beim Start alles darf.
    b) System-Admin `Administator` aus der Systemumgebung welcher fast alles darf.
    c) Admins welche temorär der Einschränkung entbunden sind nicht als Admin agieren zu können. Diese dürfen noch etwas weniger als der Vorgänger.

    Genau um c) geht es bei meinem Bemühen.

    "%USERNAME%"=="Nutzer" bringt hier leider nichts - sehr Schade.

    @deoroller,

    auch schönen Dank für den Tip. Interessanter Ansatz - brauche aber ein Weilchen um ihn als mögliche Teillösung für mein Problem einordnen zu können.

    Edit: Rechtschreibung
     
  12. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Mmhh, bei mir sind es die ersten beiden, wobei der erste irrelevant ist, das Konto nutze ich ja in der täglichen Praxis nie. Genaugenommen sollte es also nur einen geben.

    if "%USERNAME%"=="erster Admin" goto Warnung
    if "%USERNAME%"=="zweiter Admin" goto Warnung
    ...
    if "%USERNAME%"=="zwölfter Admin" goto Warnung

    ...
     
  13. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    @steppl,

    genau, den Super-Admin benutze ich auch nur im äußesten Notfall und den 'Administrator' zur normalen Systempflege.

    Ich gehe also normalerweise mit dem eingeschränkten User 'Nutzer' ins www.
    Wenn ich nun ein Programm für 'Nutzer' installiere muß ich ihn vorher zum Admin ernennen.

    Eine Abfrage if "%USERNAME%"=="Nutzer" goto Warnung
    geht leider immer zur Warnung ob als User oder als temporärer Admin.

    Da liegt mein Problem begraben. :aua:
    Ich möchte eigentlich feststellen ob 'Nutzer' zur Zeit Admin ist oder nicht.

    Scheinbar ist eine solche Abfrage nur über die Registry möglich?

    @deoroller,
    Als 'Administrator' habe ich einen unverwechselbar anderen Desktop, so bin ich gegen ein ungewolltes Verbinden zum www einigermaßen gefeit.
     
  14. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    Hallo,
    beim zweiten Anlauf mein Problem zu lösen bin ich auf den Trichter gekommen - indirekt d.h. über die systemeigene Überwachung des Kopierens bzw. Umbenennen einer Datei in einem NTFS-System zu missbrauchen:

    ::--------

    @echo off

    cls
    echo.

    if not exist L:\BATCHES\Dummy.test goto FEHLER1
    ::Testkopie
    copy L:\Batches\Dummy.test C:\Windows\Dummy.test > Nul
    if errorlevel 1 goto AUFRUF
    ::Kopie gelungen, also Admin - Kopie sofort wieder löschen
    del C:\Windows\Dummy.test
    :Warnung
    echo.
    echo.
    echo Vorsicht! ***** Du bist Administrator ***** !!!
    echo.
    echo.
    echo.
    echo Zum Beenden der Stapeldatei: 'Ctrl+C' oder
    echo.
    echo zum Aufruf des IE irgendeine aktive Taste drcken ...
    pause > NUL
    :AUFRUF
    "C:\Programme\Internet Explorer\iexplore.exe"
    exit

    :FEHLER1
    echo.
    echo Test-Datei fehlt!
    echo.
    echo Programm-Abbruch mit irgendeiner aktiven Taste ...
    pause > nul

    @echo on

    ::--------
     
  15. Eric March

    Eric March CD-R 80

    Registriert seit:
    11. September 2003
    Beiträge:
    7.069
    Die Verdreifachung ist nach meiner Meinung Käse. Man muss sich ja geradezu merken welcher Spezialadmin was kann und darf. Das ist nix für das Wesen Mensch - besonders wenn es solcherlei, äh, Gedächtnislücken bekalgt.

    Logischer Ansastz: Der Super-Admin ist klinsch rein, keine Müll-Ware usw. Dann kann auch mangels Masse nichts passieren.

    Muss SW installiert werden die meint Admin-Recht zu brauchen sollte immmer noch der Mechanismus des Ausführen-Als hinreichen um als normaler User alles zu bewältigen.

    Wenn ich schließlich optisch alles so aufzäume, dass kein Zweifel besteht ob ich Normaluser oder Super-Admin bin ist der geplante Aufwand überflüssig. (Und vermeide ich den IE ganz habe ich auch keine Sorgen damit!)

    Mir scheint also, da soll ein Problem gelöst werden das bei Licht betrachtet gar nicht existiert.
     
  16. Ace Piet

    Ace Piet Computerversteher

    Registriert seit:
    7. September 2004
    Beiträge:
    3.325
    Als offensichtlicher Freund von BATch-Lösungen empfehle ich Dir zum Download das ResKit. Es ist natürlich auch unter (normalem) XP zu gebrauchen. - Speziell IFMEMBER.exe checkt lokale Gruppenzugehörigkeit und lässt sich per ERRORLEVEL-Var. abfragen.

    HTH
     
  17. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    @Eric march,

    den 'Käse' hat sinnvollerweise Microsoft im System verankert - das ist halt so - man muss sich da nichts besonderes merken.

    Von der Polemik 'mal abgesehen:
    den thread in Ruhe durchlesen, dann kommt es nicht mehr vor, dass Empfehlungen und angedachte Lösungswege doppelt gemoppelt nochmals erscheinen.
    Die Bemerkung des 'Ausführen-Als' ist hier allerdings neu - muss ich bekennen.

    @Ace Piet,

    der Vorschlag scheint eher in die richtige Richtung zu weisen - danke vielmals für den Tipp.
     
  18. Doofchen

    Doofchen Kbyte

    Registriert seit:
    30. August 2003
    Beiträge:
    277
    @Ace Piet,

    genau - der Tipp ist Gold wert. Ich konnte mir nun das ganze Dateien-Gefummel sparen.

    Schöne Grüße, und nochmals vielen Dank.
     
  19. Ace Piet

    Ace Piet Computerversteher

    Registriert seit:
    7. September 2004
    Beiträge:
    3.325
    Ergänzung:

    Das von MS angebotene freie ResKit ist eine Untermenge eines kommerziellen Produktes. - Es fehlen WHOAMI.exe und LOCAL.exe (zumindest, was Deine Interessen angeht). Was nicht bedeutet, dass man die nicht *irgendwo* auftreiben kann...

    Gerade gesehen: WHOAMI ist Bestandteil der Support-Tools des SP2.

    OT-Empfehlungen
    http://www.sysinternals.com
    http://www.aumha.org/free.htm

    -Ace- (ergänzender Hinweis)
    _______________

    Voarausschau:

    WHOAMI [/option] [/option] ...

    Where /option is one of the following:

    /ALL = Display all information in the current access token.
    /NOVERBOSE = Display minimal information. *
    /USER = Display user.
    /GROUPS = Display groups.
    /PRIV = Display privileges.
    /LOGONID = Display Logon ID.
    /SID = Display SIDs. *
    /HELP = Display help.


    Z.B. entspricht WHOAMI /groups dem IFMEMBER /list. Für Dich interessant wäre IMHO noch WHOAMI /priv (lokale SicherheitsBerechtigungen); Beisp.:

    H:\Dokumente und Einstellungen\Ace-Piet>whoami /groups /priv

    [Group 1] = "P3B-XP-PV\Kein"
    [Group 2] = "Jeder"
    ...
    [Group 7] = "NT-AUTORIT─T\INTERAKTIV"
    [Group 8] = "NT-AUTORIT─T\Authentifizierte Benutzer"

    (X) SeChangeNotifyPrivilege = Auslassen der durchsuchenden ▄berpr³fung
    (O) SeSecurityPrivilege = Verwalten von ▄berwachungs- und Sicherheitsprotokollen
    (O) SeBackupPrivilege = Sichern von Dateien und Verzeichnissen
    (O) SeRestorePrivilege = Wiederherstellen von Dateien und Verzeichnissen
    ...uvm...
    (X) SeLoadDriverPrivilege = Laden und Entfernen von Gerõtetreibern
    (O) SeCreatePagefilePrivilege = Erstellen einer Auslagerungsdatei
    (O) SeIncreaseQuotaPrivilege = Anpassen von Speicherkontingenten f³r einen Prozess
    (X) SeUndockPrivilege = Entfernen des Computers von der Dockingstation
    (O) SeManageVolumePrivilege = Durchf³hren von Volumewartungsaufgaben
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen