Jump to content
Sign in to follow this  
Ingrid

Umgehen der Domain Controller Policy

Recommended Posts

Hallo,

 

ich arbeite als Comp. Technician an einer Schule und habe jetzt bemerkt, dass die Schueler die Moeglichkeit haben, das Laden der Domain Controller Policy zu umgehen. :cry: Sie geben ihr Login und Ihr Password an, warten bis die lokalen security settings abgearbeitet sind, trennen dann die Verbindung vom Netzwerk indem sie einfach das Kabel aus der Netzwerkkarte ziehen, lassen den Rest des Startvorgangs ablaufen und verbinden danach den Computer wieder mit dem Netzwerk.

 

Weiss jemand, ob es eine Sicherheitseinstellung gibt, die das Anmelden ohne Domain Controller Policy verhindert?

 

Gruss

Ingrid

Share this post


Link to post
Original geschrieben von Ingrid

Hallo,

 

....Sie geben ihr Login und Ihr Password an, warten bis die lokalen security settings abgearbeitet sind, trennen dann die Verbindung vom Netzwerk indem sie einfach das Kabel aus der Netzwerkkarte ziehen...

 

Hi!

 

Das ist ja ein Knaller! Hab ich auch noch nicht gehört.

 

"...Weiss jemand, ob es eine Sicherheitseinstellung gibt, die das Anmelden ohne Domain Controller Policy verhindert?..."

 

Solch eine Sicherheitseinstellung gibt es (so weit ich weiß) nicht. Zudem ist es ja auch so, daß die Anmeldung zu diesem Zeitpunkt ja schon erfolgt ist (Meine Quelle: MS Windows 2000 Sicherheit).

 

Bis Du hier eine Lösung gefunden hast, würde ich vorschlagen (auch wenn es mit etwas Arbeit verbunden ist), daß Du jeweils i.d. Lokalen Sicherheitseinstellungen an den Arbeitsplätzen die gleichen restriktiven Sicherheitsrichtlinien entspr. der Domäne konfigurierst.

 

Gruß

 

flexxxen

 

PS: "saracs" berichte mal von Deinem Test! Interessiert mich ;-)

Share this post


Link to post

Hi,

 

was ist das für ne Schule? Darauf muss man erst mal kommen. Also ganz spontan fällt mir dazu leider auch nur so was blödes ein wie Kabel verkleben oder Rechner wegschließen.

 

Oder du schreibst ne ein Skript welches permanent Pings an die clients sendet und bei mehr als 10 fehlerhaften sofort ne Meldung bei dir aufpoppen läßt. Von wegen Rechner XY vom Netz getrennt.

 

Gruß

Share this post


Link to post

Hi Ingrid

 

Arbeitest Du mit Roaming Profiles. Falls ja, es gibt eine Einstellung, dass das Roaming Profil beim Login geladen werden muss, ansonst wird das Loging als fehlerhaft abgebrochen. Ziehst Du jetzt das Netzkabel wird das Profil nicht korrekt geladen und eventuell unterbindet das dann die Möglichkeit deine Policies zu umgegen.

 

 

Ist nur so eine Spontanidee. Müsstest Du mal ausprobieren. ;)

 

Gruss

Georges

Share this post


Link to post

Mir kommt da nur die 'Gegenmöglichkeit': Eine lokale Richtlinie absichtlich falsch einstellen, bsp. ein augenschädigendes Hintergrundbild oder eine absichtlich nicht funktionierende Proxy-Einstellung für den IE. Beides wird erst von der Domain Controller Policy auf korrekte Werte korrigiert. Wenn die Jungs dann kommen und fragen, weshalb sie nicht mehr surfen können, dann weißt Du, wer's war. Die Idee allerdings ist klasse.

 

------------

Gruß, Auer

Share this post


Link to post

Über ein Logonscript (ggf. über HKLM/Software/Microsoft/Windows/CurrentVersion/Run), an diesen Schlüssel kommen die User nicht ran, einen Aufruf der SCECLI mit /enforce auslösen, mal probieren ob man mit

:Anfang

secedit /refreshpolicy machine(User?)_policy /enforce

IF ERRORLEVEL 1 GoTo Anfang

 

oder so ähnlich eine Schleife erzeugen kann, bis der DC wieder da ist.

 

Sonst

 

:Anfang

Ping IP_des_DC -n 1 | find /I "Antwort"

If Errorlevel 1 GoTo Anfang

secedit /refreshpolicy machine(User?)_policy /enforce

 

MfG

 

Apotheker

Share this post


Link to post

Irgendeinen Registry Eintrag heraussuchen der durch die Policy

gesetzt wird und dir besonders wichtig ist.

In das VBS Script unten einsetzen und das Script über

HKLM/Software/Microsoft/Windows/CurrentVersion/Run aufrufen.

Ist der Wert nicht gesetzt wird der Benutzer wieder abgemeldet.

 

-------------------------------------------------------------------------------

Set WshShell = WScript.CreateObject("WScript.Shell")

If Not WshShell.RegRead("HKCU\SOFTWARE\irgendwas") = "blablabla" Then Shutdown()

WScript.Quit(0)

 

Sub Shutdown()

Const EWX_LOGOFF = 0

Const EWX_SHUTDOWN = 1

Const EWX_REBOOT = 2

Const EWX_FORCE = 4

Const EWX_POWEROFF = 8

Set OpSysSet = GetObject("winmgmts:{(Shutdown)}//./root/cimv2").ExecQuery("select * from Win32_OperatingSystem where Primary=true")

For Each OpSys in OpSysSet

OpSys.Win32Shutdown EWX_LOGOFF

Next

End Sub

-------------------------------------------------------------------------------

 

thorgood

Share this post


Link to post

Hi!

 

Bin mir nicht ganz sicher, aber ich hab hier in meiner W2K-Domänen mal in den Gruppenrichtlinien gestöbert und etwas gefunden:

 

Computerkonfiguration|Windowseinstellungen|Sicherheitseinstellungen|lokale Richtlinien|Sicherheitsoptionen:

 

- System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können.

 

Ich bin mir nicht sicher, ob Du damit etwas anfangen kannst, aber teste mal ein wenig. Logischerweise muss die Protokollierung dafür aktiviert sein... eine eventuelle Batch kannst Du hier auch per Richtlinien (lokale) laufen lassen, indem Du es unter Startskript einträgst.

Share this post


Link to post

Nein, das funktioniert nicht. Das regelt nur, ob ein Bluescreen erzeugt wird, wenn das security-Log voll ist, und nicht überschrieben werden darf.

 

grizzly999

Share this post


Link to post

Jetzt aber:

 

Du hast unter Win2000 die Möglichkeit, die Richtlinien in definierten Zeiträumen aktualisieren zu lassen. Zu finden ist diese Einstellung unter

 

Benutzereinstellungen|Administrative Vorlagen|Windows-Komponenten|System|Gruppenrichtlinien|Gruppenrichtlinienaktualisierungsintervall.

 

Das ist zwar nicht des Rätsels beste Lösung, kann aber (je nach Serverauslastung, Netzbandbreite und Clientzahl) recht nieder gehalten werden, somit können die Jungens und Mädels zumindest nach gewisser Zeit keinen Mist mehr machen.

Share this post


Link to post

Hallo,

 

erst einmal vielen Dank fuer die vielen Hinweise und Tips. Ich arbeite an einer Highschool in Cooroy, das liegt an der Ostkueste Australiens.

 

Ich werde heute alle Dinge ausprobieren und Bescheid geben, ob etwas funktioniert hat.

 

Ingrid

Share this post


Link to post

Habe mir aus allen Tips und Hinweisen eine Loesung zusammengebaut:

 

- run script (Eintrag in Registry) bei logon

- ping an den Server

- wenn Server nicht antwortet start von shutdown.exe (vom

Internet) :p

 

Die Loesung, die DC policy noch einmal zu laden gefaellt mir zwar vom Grundsatz her besser, leider dauert es aber manchmal einige Minuten bis sie geladen ist. Und das ist mir ein bisschen zu gewagt.

 

Bei Netzwerkproblemen ist diese Loesung auch nicht so ganz toll, aber ich habe ja als Admin immer die Moeglichkeit es zu aendern.

 

Vielen Dank fuer Eure Hilfe.

Ingrid

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...