Jump to content

paulx

Abgemeldet
  • Gesamte Inhalte

    32
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von paulx

  1. Ich habe eine eigene Software mit Hilfe der in Windows XP enthaltenen iexpress.exe gepackt, diese will ich im Internet veröffentlichen. Nun gibt es die Möglichkeit, mit Hilfe der legalen Software Ressource Hacker dieses selbstextrahierende Archiv zu manipulieren. Dabei kann man z. B. die Versionsinformationen ändern, also anpassen für die eigene Software und unnötige Teile, etwa dieses kleine Video, rausnehmen. Das hat den Vorteil, dass sich dann die Versionsinformationen auf die eigene Software beziehen und dass das Archiv dann von der Dateigröße her kleiner ist. Ich stelle mir das so vor: Ich habe die Software mit der iexpress.exe erstellt, wenn ich sie dekompiliere, ist das rechtlich erlaubt, da ich ja nicht die iexpress.exe selbst, sondern deren "Kompilat" dekompiliere. Ich habe also einfach die iexpress.exe als einen Compiler betrachtet, und eine mit einem Compiler von Hersteller XY kompilierte Software darf ich ja auch dekompilieren und veröffentlichen, ohne Hersteller XY nach Erlaubnis zu fragen, wenn ich die Software selbst entwickelt habe. Ist diese Rechtsauffassung korrekt?
  2. So, ich habe die Richtlinie jetzt umgesetzt, läuft wie gewünscht, danke für den guten Tipp!
  3. Ich habe mir jetzt mal das mit den Gruppenrichtlinien grob angesehen, ich denke, damit müsste ich es hinkriegen. Das Problem mit der Änderung des Besitzers sehe ich in diesem Fall nicht, obwohl ich deine Argumente, die dagegen sprechen, durchaus nachvollziehen kann. Aber hier geht es um eine Umgebung, in der Quotas und servergespeicherte Profile keine Rolle spielen. Aber es ist schon richtig, dass es für das angesprochene Ziel so nicht wirklich was bringt.
  4. Nur ich kann dem Benutzer ja nicht den Schreibzugriff auf das eigene Benutzerprofil sperren. Das ist mir bekannt, deshalb fragte ich, wie man es ändern kann. Bei Benutzern mit Administratorrechten kann man es nämlich ändern, nur bei Benutzern mit eingeschränkten Rechten habe ich bisher nichts gefunden. Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien. Deinen Tipp mit den Gruppenrichtlinien schaue ich mir mal an.
  5. Ich habe auf einem Windows XP Pro SP2- System folgendes Problem: Ich habe einen eingeschränkten Benutzer erstellt, nennen wir ihn Test. Bei diesem habe ich in dessen Benutzerkonto die Rechte Ordner durchsuchen/Datei ausführen, Berechtigungen ändern und Besitzrechte übernehmen aus den erweiterten NTFS- Sicherheitseinstellungen gestrichen. Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt. Diese Einstellungen habe ich in alle untergeordneten Objekte übertragen. Das hat auch alles wunderbar geklappt. Nur dann habe ich mal den Test gemacht und eine ausführbare Datei aus dem Internet geladen und im Benutzerprofil gespeichert. Die habe ich dann gestartet, es erscheint wie gewünscht die Fehlermeldung "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evtl. nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.". Dann habe ich aber mal als Benutzer Test die Sicherheitseinstellungen der Datei aufgerufen und festgestellt, dass ich die Sicherheitsoptionen ändern konnte sprich Vollzugriff erlauben konnte. Beim Schauen in die erweiterten Rechte stellte ich schließlich den Grund fest: Die Datei hatte als Besitzer den Benutzer "Test", so erklärte sich dann, warum ich die Sicherheitsrechte ändern konnte, ohne mich als Admin anzumelden. Nachdem ich diese Rechte dann änderte sprich Vollzugriff erlaubte, konnte ich die Datei problemlos ausführen. Das ist nun etwas, was ich dem Benutzer eigentlich verbieten wollte. Kann mir jemand sagen, wie ich es ihm verbieten kann?
  6. Ich habe es nun mit SetACL ausprobiert, komme aber nicht so richtig voran. Ich habe zwar den grundlegenden Aufbau durch http://setacl.sourceforge.net/html/examples.html verstanden, aber wie ich Verweigerungsrechte setze, habe ich noch nicht verstanden. Kann mir das jemand erklären? Bitte nicht lachen, ich bin SetACL- Anfänger.
  7. Vielen Dank für eure Antworten und sorry für meine späte Antwort. Ich werde es mit SetACL ausprobieren.
  8. Ich würde gerne ein Skript schreiben, das in einem Ordner oder einem Laufwerk folgende NTFS- Berechtigung für einen bestimmten Benutzer vergibt: Alles außer folgendem: Ordner durchsuchen/ Datei ausführen, Berechtigungen ändern, Besitzrechte Übernehmen. Es handelt sich um Optionen, die man nur über die erweiterten Sicherheitseinstellungen bekommt. Damit soll erreicht werden, dass der Benutzer etwa exe- Dateien speichern kann, sie jedoch nicht ausführen kann. Wenn in einem Ordner das Recht Ordner durchsuchen/ Datei ausführen für einen Benutzer deaktiviert wurde, kann eine exe- Datei, die in diesem Ordner gespeichert wird, von diesem Benutzer nicht ausgeführt werden. Das Wegnehmen der zwei weiteren Rechte soll dazu führen, dass dies nicht rückgängig gemacht werden kann. Leider geht das nicht mit cacls. Könnt ihr mir ein anderes Tool nennen, mit dem ich das durchführen kann? PS: Ich bin mir darüber bewusst, dass diese Sicherheitsmaßnahme allein nicht ausreicht.
  9. Allerdings verstehe ich auch nicht ganz, was an der /savecred- Option so völlig sinnlos sein soll. Dass das nicht so gelungen ist, dass man die Passwörter nicht mit einer klar ersichtlichen Option wieder löschen kann und es Missbrauch ermöglicht, das ist klar. Aber völlig sinnlos ist es deshalb trotzdem nicht. Ich habe z. B. ein Benutzerkonto erstellt, von dem man sagen kann, dass es sehr, sehr restriktiv konfiguriert ist. Damit surfe ich. Mehr geht damit auch nicht. Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung. Gut, in diesem Benutzerkonto kann man dadurch Programme mit diesem restriktiv konfigurierten Benutzer starten, ohne das Passwort dieses Benutzers zu wissen. Aber das ist ja nicht so direkt schlimm, weil man dadurch die Rechte nicht erhöhen kann.
  10. Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen. Schließlich hat MS keinen Nachteil davon, wenn man auf seinem XP- System eine Windows 2000- Systemdatei verwendet. Also kann man diese Maßnahme klar in die Kategorie "Probleme schaffen, ohne irgendwelche Probleme zu lösen", einordnen. Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.
  11. Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist.
  12. Was dagegen spricht, dem Benutzer ein Passwort zu geben? Ist doch eigentlich klar. Es bringt sicherheitsmäßig nichts, dem User ein Passwort zu geben, wie ich bereits schrieb. Und es erhöht den Aufwand. OK, nicht stark, aber ein bißchen mehr Aufwand für ein quasi gleiches Ergebnis ist eben insgesamt schlecht. Abgesehen davon, dass der User dann als Admin surfen würde. Ob das in irgendwelchen Büchern drinsteht, dass man das so machen soll, ist mir nicht so wichtig. Bzw., wenn es überall drin steht, senkt es sogar die Glaubwürdigkeit. Denn wenn alle etwas schreiben und Kritiker zurechtgewiesen werden, kommt leicht der Verdacht auf, dass ein gewisser Teil das nur schreibt, um nicht das eigene Ansehen zu riskieren, nicht, weil sie das wirklich meinen. Aber ich habe keine Lust mehr auf die Diskussion. Ich habe sie ohnehin nur geführt, weil ich lernen wollte, warum dieses Sicherheitskonzept schlecht ist. Aber das werde ich hier wohl nicht lernen. Ich übernehme nicht einfach Meinungen, wenn ich sie nicht nachvollziehen kann, auch wenn es Mehrheitsmeinungen sind. Warum? Ich kann Meinungen nicht damit begründen, dass das allgemeine Meinung ist. Ich muss Argumente liefern. Und zwar Argumente, die derjenige nachvollziehen kann, auch wenn er wenig Ahnung von der Sache hat. Und dafür ist es zunächstmal erforderlich, dass ich die Argumente richtig finde. Ich kann ja keine Argumente bringen, an deren Relevanz ich selbst zweifle. Zu dem Porsche: Man versucht, Wünsche zu erfüllen. Wenn man es nicht kann oder der Aufwand zu hoch wäre, macht man es eben nicht, so wie beim Porsche.
  13. Warum redet ihr eigentlich immer um den heißen Brei herum? Warum sagt ihr nicht einfach, warum dieses Sicherheitskonzept schlecht ist sprich warum Viren aus dem Browser heraus in der von mir beschriebenen Konfiguration leichter starten als wenn man sich direkt als Benutzer einloggt. Dass man sich mit dem Setzen eines Passworts für einen ziemlich entrechteten Benutzer nicht vor physischen Zugriffen auf das System schützen kann, sollte doch eigentlich bekannt sein. Für den Hinweis mit der dropmyrights.msi: Danke. Ich habe das Problem inzwischen allerdings selbst gelöst: Mit der /savecred- Option des runas- Befehls.
  14. Entschuldigung für meine späte Antwort. 1. Ist es nicht klar, dass ein Browser, der im Kontext eines einfachen Benutzers läuft, sicherer ist als ein Browser, der im Kontext des Administrators läuft und es somit für einen Benutzer, der als Admin arbeitet, sinnvoll ist, den Browser als Benutzer zu starten? Das Loch mit dem eingeschränkten Benutzer ohne Passwort ist ja wohl lächerlich. Schon mal was von Bart PE gehört? Da kann das Passwort noch so kompliziert sein, damit kommt jeder, der physischen Zugriff auf den Rechner hat, zumindest bei den meisten Rechnern ohne Probleme rein. Wer sich vor so etwas schützen will, muss sein Dateisystem so oder so verschlüsseln oder mit Festplatte im Wechselrahmen arbeiten. Benutzer- Passwörter als Schutz vor physischem Zugriff auf das System sind lächerlich, insbesondere, wenn es um eingeschränkte Konten geht. Ich will den bösen Menschen sehen, der mit einer Bart PE- CD in der Tasche an einem gesetzten Passwort für ein eingeschränktes Konto verzweifelt. 2. Ist es nicht klar, dass es Leute gibt, bei denen es schwerer fällt, sie davon zu überzeugen, sich mit Benutzerrechten einzuloggen als sie davon zu überzeugen, ihren Browser automatisch mit Benutzerrechten starten zu lassen? Es gibt Leute, denen kann man Benutzerrechte einrichten, dann installieren sie irgendein Programm, das nur mit Adminrechten geht, und schon arbeiten sie wieder als Admin. 3. Ich brauche keine Nachhilfe in Sachen Bildung von Sicherheitskonzepten. Was meint ihr, warum ich mich jahrelang mit dem Thema Sicherheit beschäftigt habe? Wenn ich nur die Ideen, die andere an mich herantragen, kopieren wollte, hätte ich mir das sparen können. Nein, viel mehr: Damit Malware nicht ohne weiteres ausgeführt werden kann. Schon mal was von der erweiterten NTFS- Option "Ordner durchsuchen/ Datei ausführen" gehört? Ist die für einen Ordner nicht gesetzt, können in diesem Ordner gespeicherte Dateien von diesem Benutzer nicht ausgeführt werden (.exe, .pif, .cmd, .bat). Klar, Dateien für den Windows Scripting Host, den Windows Installer, Java- Programme und ähnliches oder sowas können immernoch ausgeführt werden. Aber die kann man ja auch sperren, indem man die jeweiligen Dateien wie etwa den Windows Scripting Host für den jeweiligen Benutzer sperrt. Auf diese Weise ist es leicht möglich, dieses Ausführungsrecht für jeden beschreibbaren Ordner zu sperren. Die Hauptvorteile an dem Konzept sind also: 1. Es fällt oft nicht so schwer, Leute davon zu überzeugen. 2. Die Leute werden seltener rückfällig. 3. Es ist deutlich einfacher verwendbar, da man bei Programmen, die für den Einsatz durch eingeschränkte Benutzer nicht ausgelegt sind, keine Probleme einhandelt. Ich selbst krieg die damit mitunter verbundene komplizierte und zeitaufwändige Arbeit mit Regmon, Filemon usw. schon hin, aber bei einem normalen Benutzer kann man das nicht erwarten.
  15. Ich habe folgendes Problem: Ich würde gerne auf einem Windows XP SP2- System, dessen Benutzer sich als Administrator anmeldet, den Browser als Benutzer starten lassen, ohne dass sich für den Benutzer etwas verändert. Es geht um einen Benutzer, der Veränderungen überhaupt nicht haben kann. Das Grundkonzept stand sofort: runas /user:<Benutzername> <Programmpfad> als Verknüpfung. Um das machen zu können, habe ich zunächstmal mit Hilfe der gpedit.msc die Option, dass beim runas- Befehl ein Kennwort zwangsläufig notwendig ist, deaktiviert. (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsptionen- Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken- Deaktiviert). Dann hat es im Grunde geklappt, nur es wurde noch die Eingabeaufforderung angezeigt, bei der man dann die Eingabetaste drücken muss. Das ist etwas, was dieser Benutzer nicht akzeptieren kann. Deshalb meine Frage: Gibt es eine Möglichkeit, dafür zu sorgen, dass diese Eingabeaufforderung nicht angezeigt wird und das Programm direkt mit dem entsprechenden Benutzer gestartet wird?
  16. Dann scheine ich wohl als Dozent sehr gute Vorraussetzungen mitzubringen.
  17. Ja. Kann man irgendwie rauskriegen, in welchen Regionen man in dieser Hinsicht die besten Chancen hat? Ja gut, aber braucht man da nicht auch irgendein zusätzliches Zertifikat? Ja, hast du.
  18. Ja, erstmal danke. Ich lasse mich sowieso nicht desillusionieren. Wenn jemand mir schlechte Aussichten auf einen Job attestiert, gilt es für mich pauschal als Quatsch. Ich hasse keine Zertifikate. Es ist eine reine Frage, wie wichtig das ist. Es ist für mich eigentlich relativ klar, dass ich den MCSA für Server 2003 fertig machen will, auch wenn ich vorher eine Stelle bekommen sollte. Mir stellt sich aber die Frage: Lohnt es sich, unter Inkaufnahme eines entsprechenden Zeitverlusts, auch Wissensbereiche anzugehen, von denen ich denke, dass sie nicht unbedingt für den MCSA erforderlich sind, die aber für Netzwerkadministration allgemein trotzdem sinnvoll sind? Noch eine Frage: Ich bin sehr gut in der Lage, weniger qualifizierten Menschen Dinge im Computerbereich beizubringen. Macht es Sinn, auch über eine Stelle als Computerkurs- Dozent nachzudenken?
  19. Mir ist natürlich bewusst, dass man mit einem MCSA- Zertifikat wenig anfangen kann, wenn das entsprechende Wissen in Vergessenheit geraten ist. Für mich stellt sich die Frage: Wie wichtig sind solche Zertifikate wie MCSA/ MCSE usw. verglichen mit dem Wissen? Zweite Frage: Machen solche Dienste wie etwa http://www.monster.de Sinn? Auf solchen Sites kann man ja einiges über sich selbst reinstellen und so potenzielle Arbeitsgeber auf sich aufmerksam machen. Da denke ich mir natürlich: Das ist viel einfacher als Bewerbungen. Stellt sich nur die Frage: Hat man da als MCP realistische Aussichten auf einen Job? Oder macht sowas erst Sinn, wenn man MCSA ist? Was meint ihr dazu? Umzug wäre kein Problem für mich, wenn ich dafür einen Job bekomme.
  20. Na ja, die Kritik war mir durchaus bewusst. Ich nehme sie auch ernst. Ich werde es beim Server 2003 anders machen, auch, weil ich dort nicht so gute Vorkenntnisse habe. Ich kenne mich mit dem Windows 2000- Server einigermaßen aus, aber mit Server 2003 habe ich bislang keine Erfahrung. Aber wie gesagt, hängt das Bestehen auch mit meinen sehr guten Vorkenntnissen bei Windows XP zusammen. Das heißt, ich wäre denke ich wohl auch in einer praktischen Prüfung damit durchgekommen, bei den Vorkenntnissen, wenn der Schwierigkeitsgrad vergleichbar wäre. Und ein Arbeitegeber würde aufgrund der Vorkenntnisse wohl auch nicht drüber meckern. Allgemein gebe ich dir recht.
  21. Nun habe ich es aller Warnungen zum Trotz doch gewagt, die 70-270- Prüfung zu absolvieren, und es hat geklappt. Ich habe als Material das Übungsbuch von Borell und Föckeler verwendet. Ich war mir zwar bewusst, dass allein dieses Buch nicht für alle Fragen ausreichen wird, aber ich habe mir gedacht, wenn ich das spitzenmäßig kann, was in dem Buch gefragt wird, wird es bei meinen Vorkenntnissen wohl auch zum Bestehen der Prüfung reichen. Wenn die Vorkenntnisse nicht so gut gewesen wären, wäre so eine Strategie aber sicher nicht aufgegangen.
  22. Man müsste sowas auch per LAN machen können. Es gibt ja auch eine Version von Firefox für USB- Sticks, die man dann auf jedem Rechner mit den eigens festgelegten Einstellungen nutzen kann. Und es funktioniert, egal welchen Pfad Firefox dann hat. Die USB- Sticks können ja auf unterschiedlichen Rechnern auch unterschiedliche Laufwerksbuchstaben haben. Man muß den Browser auf einem Testsystem installieren und ihn dort so konfigurieren, wie er auf allen Systemen sein soll. Dann muß es auf den Server kopiert werden. Auf die Clients kann man ihn dann durch das Startskript automatisch kopieren lassen. Das Problem daran: Man braucht dazu einen Pfad, auf den das Skript Firefox schreiben kann. Wenn zumindest Hauptbenutzerrechte vorhanden sind, ist das überhaupt kein Problem. Wenn aber nur Benutzerrechte vorhanden sind, ist das schon ein Problem. Automatisch beschreibbar sind natürlich die lokalen Userprofile des Users. Das hat aber das Problem, dass man dann für jeden User, der auf dem System vorhanden ist, einen eigenen Firefox installieren würde. Wenn also z. B. 50 Nutzer vorhanden sind, hat man plötzlich Firefox 50 mal auf der Platte. :D Das Problem ist nicht so erheblich, wenn es nur wenige User gibt. Wenn also der jeweilige PC immer nur von einem oder wenigen Mitarbeitern genutzt wird, ist es nicht so schlimm. Eine andere Möglichkeit ist, dass man Firefox nur auf dem Server hat. Vorteil ist, dass man die Einstellungen immer zentral auf dem Server anpassen kann und dass man keine Probleme mit Benutzerrechten hat. Zudem kann man zentral Patches installieren. Man müsste dafür nur eine entsprechende Desktopverknüpfung auf den Client- Rechnern per Startskript installieren. Andererseits belastet man damit das Netz ziemlich, denn der Browser ist ja in der Regel ein häufig genutztes Programm. Man könnte bei diesem Verfahren die Netzauslastung durch Verwendung von Opera bremsen, denn Opera ist von dem Megabytes her schlanker. Was man natürlich auch machen kann, ist, auf allen Rechnern einen bestimmten Ordner für Schreibzugriff freizugeben, um dann dort Programme installieren zu können. Wäre eine Aktion, die einem künftige Programmverteilungen erleichtern könnte. Und so könnte man auch das verteilen. Mit all diesen Verfahren ist es aber nicht möglich, Firefox zum Standardbrowser zu machen.
  23. Du kannst die NTFS- Rechte der net.exe im system32- Ordner entsprechend ändern.
  24. paulx

    Boot HD Switcher

    Du kannst auch einen Wechselrahmen verwenden und so die XP- und die 2000- Platte abwechselnd rein tun.
  25. Ich nutze ziemlich vieles, aber im wesentlichen XP, weswegen ich das auch angekreuzt habe. Ansonsten haben wir noch Win 2000, NT 4, Linux und Bart PE. Ob man das Bart PE als eigenständiges Betriebssystem bezeichnen kann, bezweifle ich allerdings. Schließlich basiert es auf XP oder Win 2003. Mit einer 2003er- Server- Testversion habe ich auch schon mal gearbeitet.
×
×
  • Neu erstellen...