Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Dateienschutz für ausgewählte Datei unter WindowsXP aufheben

Mitglied: BofH81

BofH81 (Level 1) - Jetzt verbinden

03.03.2010 um 13:55 Uhr, 4595 Aufrufe, 11 Kommentare

Hi,

kurz zu mir: ich bin momentan als Administrator an einem Gymnasium angestellt.

Nun kam ein Lehrer zu mir und meinte, dass Schüler über winchat.exe (befindet sich im %windir%\system32) sich Informationen austauschen, dieses solle jedoch unterbunden werden.

Also hab ich mir ein kleines Script geschrieben, welches die winchat.exe mit einer von mir erstellten EXE auf allen Schülern überschreibt und einer Text Datei auflistet, wer die Datei ausführt.

Zu meinem Problem:

Windows erkennt nach ca. 3-5 Sek das dies nicht die originale EXE ist und stellt die Originale wieder her.

Kann man irgendwie diesen Dateischutz umgehen?

Für eure Hilfe wär ich sehr dankbar.
Mitglied: mrtux
03.03.2010 um 14:10 Uhr
Hi !

Zitat von BofH81:
Kann man irgendwie diesen Dateischutz umgehen?

Das für die Lösung nötige Stichwort heisst: dllcache

mrtux
Bitte warten ..
Mitglied: Phalanx82
03.03.2010 um 14:32 Uhr
Zitat von BofH81:
Hi,

Hi ebenfalls,

kurz zu mir: ich bin momentan als Administrator an einem Gymnasium angestellt.

Nun kam ein Lehrer zu mir und meinte, dass Schüler über winchat.exe (befindet sich im %windir%\system32) sich
Informationen austauschen, dieses solle jedoch unterbunden werden.

An dieser Stelle frage ich mich gerade wieso Schüler-Accounts Zugriff auf Systemordner haben an denen sie idR. garnix
zu suchen haben? Ergo Schlussfolgere ich, das die Schüler Admin Rechte auf den Kisten haben.
Dein erster Schritt sollte nun sein, diesen Umstand schnellstens zu ändern (außer es ist gewünscht das sie Admin-Rechte
besitzen da sie die eventl. brauchen?), warum brauchen Schüler Admin-Rechte?

Kann man irgendwie diesen Dateischutz umgehen?

Windows hat eine tolle Funktion die sich "Dateiausführungsverhinderung" wenn man diese aktiviert und richtig konfiguriert
brauchst du nicht an Systemdateien herumbasteln. Diese ist allerdings hinfällig wenn die Schüler Admin Rechte haben
bzw. diese auch behalten sollen/werden. MIt ein paar Mausklicks erlauben sich halbwegs informierte Schüler einfach wieder
den Start des Programms.

Hast du mal alternativ probiert einfach die .exe zu killen? Sollte imho ja keine systemrelevante Datei sein wenn ich mir das
Programm so anschaue...
Natürlich vorher ein Backup machen bzw. die Datei einfach testweise in ein anderes Verz. verschieben und testen ob Windows
Probleme danach macht (rebooten nicht vergessen). Läuft alles rund, kannst du das Backup ja lokal löschen und irgendwo auf
einem Server etc. ablegen.

Mfg.
Bitte warten ..
Mitglied: BofH81
03.03.2010 um 14:36 Uhr
Danke erstmal für die schnelle Antwort.
Ja habe ich auch schon probiert, das Problem ist nur, dass ich DLLCache nur über Registry und Austausch der SFC.dll deaktivieren kann. In der Schule läuft ein Imageverteilungssystem, d.h. es wird bei jedem Neustart alles wieder auf Urzustand zurück gesetzt.
Ich bräuchte eine Lösung die in der aktuellen Sitzung funktioniert.

MfG

BOfH81
Bitte warten ..
Mitglied: BofH81
03.03.2010 um 14:44 Uhr
Danke fürs antworten,

ja die Schüler brauchen lokale Adminrechte zum Ausführen diverser Software (welche lokale Adminrechte benötigen).
Ja ein löschen der Datei brachte auch keinen Erfolg, da diese ja nach ca. 5 Sek wiederhergestellt wird.

Die Dateiausführungsverhinderung kommt dem entsprechend auch nicht in Frage.

Mir ist aber gerade was eingefallen: Kann man die Dateiausführungsverhinderung über Gruppenrichtlinien konfigurieren? Wenn ja, wo finde ich diese Option?
Bitte warten ..
Mitglied: Phalanx82
03.03.2010 um 14:53 Uhr
Tja dann... try this:

C:\Windows\System32\Winchat.exe löschen
C:\Windows\System32\dllcache\Winchat.exe löschen

jetzt sollte Win die Datei eben nicht wiederherstellen können da du durch löschen
der 2. Datei das Backup killst.

Mfg.
Bitte warten ..
Mitglied: BofH81
03.03.2010 um 15:02 Uhr
Der dllcache ist bereits leer, die Datei wird trotzdem wiederhergestellt.
Bitte warten ..
Mitglied: Phalanx82
03.03.2010 um 15:10 Uhr
Zitat von BofH81:
Der dllcache ist bereits leer, die Datei wird trotzdem wiederhergestellt.


Dann frag ich mich gerade woher er die .exe nun weiter bezieht...
Eine Suche nach Winchat.* ergab nur die beiden .exe Files in den o.g.
Ordnern, sowie einem Helpfile, und einem Link im C:\Windows\Prefetch
Ordner.

Bootest du die Rechner übers Netzwerk oder liegt die Installation lokal vor?

Mfg.
Bitte warten ..
Mitglied: dog
03.03.2010 um 19:04 Uhr
ja die Schüler brauchen lokale Adminrechte zum Ausführen diverser Software (welche lokale Adminrechte benötigen).

Jaja, Schulsoftware.
Da gilt folgende Praxis:
  • Mit Filemon/Regmon aufpassen wo die Software überall rumschreibt und dann selektiv die Rechte geben
  • Dem, der den Mist verzapft hat mal mit einer Bratpfanne streicheln.

Ich kenne das Problem und ich habe eine ganz klare Regel: Niemals, nie, unter keinen Umständen bekommt irgendein User Adminrechte nur wegen einer miesen Software.

Ich frage mich aber grade, warum du nicht einfach eine Softwareeinschränkungs-Gruppenrichtlinie anlegst?

@Phalanx:
An dieser Stelle frage ich mich gerade wieso Schüler-Accounts Zugriff auf Systemordner haben an denen sie idR. garnix zu suchen haben?

Für die Datei hat per Default "Jeder" ein Ausführungsrecht.
Bitte warten ..
Mitglied: BofH81
04.03.2010 um 07:44 Uhr
Ja da gebe ich euch recht, bin jetzt seit einem Monat dort angestellt und hab bemerkt, dass dort einiges im argen liegt. Wenn ich gleich auf Arbeit bin werd ich mal die Softwareeinschränkungs-Gruppenrichtlinie setzen und halt euch auf den laufenden
Bitte warten ..
Mitglied: BofH81
04.03.2010 um 11:26 Uhr
So hab das Problem temporär wie folgt gelöst:

Hab eine Richtline auf die OU Schüler gelegt:

Benutzerkonf. => Administrative Vorl. => System => Angegebene Windowsanwendungen nicht ausführen

und dort die Wichat.exe eingetragen. Funktioniert erst einmal. In den grossen Ferien werd ich mich mal näher mit dem Rechtesystem hier befassen.

Ich danke für eure Hilfe
Bitte warten ..
Mitglied: mrtux
04.03.2010 um 14:59 Uhr
Hi !

Zitat von dog:
Ich frage mich aber grade, warum du nicht einfach eine Softwareeinschränkungs-Gruppenrichtlinie anlegst?

Jaja...bereue es schon, überhaupt auf die System32-Patcherei-Diskussion angesprungen zu sein...

mrtux
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner

CryptoWall 3.0 verschlüsselung aufheben

Frage von norre2000Viren und Trojaner3 Kommentare

Hallo, eine einem PC hat der CryptoWall 3.0 Virus zugeschlagen und Dokumente und Bilder verschlüsselt. Den Virus habe ich ...

Windows Netzwerk

Ordnerzugriff des Benutzers wieder aufheben

Frage von ZunarasWindows Netzwerk4 Kommentare

Hallo, ich habe Ordner auf der NAS, wo nur ein bestimmter User Schreib- und Leserechte hat. Die Anderen haben ...

Microsoft Office

VBA: nach ausgewählten Kriterien filtern

Frage von BerndVorwerkMicrosoft Office7 Kommentare

Hallo an alle. Auch auf die Gefahr hin, dass ich euch so langsam auf die Nerven gehe, aber ich ...

Windows Server

SA Kontosperrung aufheben (ohne andere Admin-Konten)

gelöst Frage von HanutaWindows Server1 Kommentar

Hallo Zusammen, ich habe folgendes Problemwir haben einen SQL 2008 R2 SQL Server. Auf diesem Server ist nur ein ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 2 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 4 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 5 StundenMicrosoft3 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware10 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...