 |
Windows NT 4.0 |
 |
|||
| Admin / NT 4.0 / Rechte | |||||
| View Online:
|
Das Problem: Im Zustand nach der Installation besitzt jeder
Benutzer mehr oder weniger Vollzugriff auf das System. Auch die besten
Einschränkungen in den Profilen nützen da nichts. Hat ein Benutzer
Zugriff auf irgend eine Kommandozeile wie VBA, MSDOS, Windows Scripting
Host oder die Möglichkeit ein selbst geschriebenes Programm laufen zu
lassen, so meine Erfahrung, dauert es im besten Fall exakt 15 Minuten und
ein Gastzugang, um zumindest lokale Administrationsrechte zu erreichen. Da
dies durch schlichtes Kopieren einer Datei in eine andere passiert, und
auch, weil der Benutzer vor allem unter NT jede Datei löschen könnte,
muss man ein System "abdichten". Dabei wird der
Ersteller-Besitzer entfernt und jeder auf lesen zurückgesetzt. Gleich
eine Warnung vorneweg.: Im Normalfall laufen danach die meisten Programme,
vor allem solche, die schlampig programmiert wurden nicht mehr. Hier
finden sie ein paar Batchdateien, die diese Rechte so verbiegen, dass ein
System etwas sicherer ist. Für wenige Programme haben wir schon eine
Lockerung der Rechte eingebaut, um sie am Laufen zu halten (z. B. Office
97). Neben den Dateirechten auf der lokalen Festplatte gilt dies
natürlich auch für Freigaben und für die Registry. Hier finden sie
einen Überblick über die Freigaben auf einem Server, die für eine
Schule sinnvoll erscheinen und deren Berechtigungen. Auch ein Tool zum Bearbeiten der Registry stellen wir zur Verfügung, da Microsoft kein
kommandozeilenbasierendes Tool dieser Art zur Verfügung stellt. Leider
liegt uns kein Quellcode vor.
In einem Whitepaper (Kopie) von Microsoft wird auf die Dateirechte einer Arbeitsstation unter Windows 2000 bzw. NT eingegangen. Hierin wird auch darauf hingewiesen, dass der Poweruser von 2000 dem Auslieferungszustand von NT entspricht. Um auch in NT einen "sicheren" User wie in 2000 zu haben müssen die Dateirechte und auch die Registryrechte wie oben schon erwähnt verändert werden.
|