[ShadowHunter]

heidernei 8( und wie mach ichdas nu alles am einfachsten wie gesagt das mit reg add und reg querry hab ichmir mal durchgelesen aber wie das genau funktioniert ka...

sprich:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{FC589191-9618-4C96-BF6A-128212CCE6E3}Machine\Software\Policies\Microsoft\Windows NT\IIS]
"PreventIISInstall"=dword:1

kann ich als User nicht eintragen? nur mal als Beispiel.

Dieser Beitrag wurde von ShadowHunter bearbeitet: 21. April 2006 - 14:00

[Hauner]

Zitat

Das ist Sinn und Zweck der Sache. Ein rudimentärer Editor gar ohne Syntax-Highlighting... bäh, unbrauchbar!

In diesem Punkt muss ich Rika wiedersprechen. Notepad ist der einfachste, aber zugleich auch nützlichste Editor, den ich kenne. Ein PC mit Notepad ist schon mal halb so langweilig wie einer ohne.

[Rika]

Drum warte bis ich das in ein ADM-Script gegossen habe.

[ShadowHunter]

dann werd ich das mal machen 8) danke
hoff dauert nich solang!

edit: zur svccheck.cmd

SERVICE_NAME: Ati HotKey Poller
DISPLAY_NAME: Ati HotKey Poller
		TYPE			   : 110  WIN32_OWN_PROCESS (interactive)
		STATE			  : 4  RUNNING
								(NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
		WIN32_EXIT_CODE	: 0  (0x0)
		SERVICE_EXIT_CODE  : 0  (0x0)
		CHECKPOINT		 : 0x0
		WAIT_HINT		  : 0x0

SERVICE_NAME: Netman
DISPLAY_NAME: Netzwerkverbindungen
		TYPE			   : 120  WIN32_SHARE_PROCESS (interactive)
		STATE			  : 4  RUNNING
								(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
		WIN32_EXIT_CODE	: 0  (0x0)
		SERVICE_EXIT_CODE  : 0  (0x0)
		CHECKPOINT		 : 0x0
		WAIT_HINT		  : 0x0

SERVICE_NAME: ProtectedStorage
DISPLAY_NAME: Gesch³tzter Speicher
		TYPE			   : 120  WIN32_SHARE_PROCESS (interactive)
		STATE			  : 4  RUNNING
								(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
		WIN32_EXIT_CODE	: 0  (0x0)
		SERVICE_EXIT_CODE  : 0  (0x0)
		CHECKPOINT		 : 0x0
		WAIT_HINT		  : 0x0

SERVICE_NAME: seclogon
DISPLAY_NAME: Sekundõre Anmeldung
		TYPE			   : 120  WIN32_SHARE_PROCESS (interactive)
		STATE			  : 4  RUNNING
								(STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN)
		WIN32_EXIT_CODE	: 0  (0x0)
		SERVICE_EXIT_CODE  : 0  (0x0)
		CHECKPOINT		 : 0x0
		WAIT_HINT		  : 0x0

- Ati hotkey poller -> wirklich darüber angreifbar? kanni ch natürlich deaktiveren is reine komfort sache
- netzwerkverbindungen -> ok kann man deaktiveren und aktivieren wenn man was einstellt, aber wirklich relevant?
- geschützer speicher -> ? kann ich das bedenklos deaktiveren?
- sekundäre anmeldung -> sobald super. Su bei mir läuft kann ich mir das doch auch sparen oder?

Dieser Beitrag wurde von ShadowHunter bearbeitet: 21. April 2006 - 17:48

[Lofote]

Zitat

Und schon vergisst man sämtlicher danach angelegter Benutzer. Also besser: In HKLM\...\Run nen regedit /s users.reg reintun.

Den ersten Satz versteh ich nicht 8)

Wenn du zu einem Zeitpunkt x alle Benutzer enumerierst und dort die Änderungen reinhaust, und später irgendwann mal einen neuen User anlegst, hat dieser neue User nicht die Änderungen.
Packst du es jedoch in den genannten Registrykey, wird bei jedem Login auch von neuen User sichergestellt, dass die Änderungen eingefügt werden.

Zitat

Ok da hast du recht 8)
Nur manche .reg sind ja gemischt mit HKLM und HKCU Einträgen, wenn ich die im Benutzerkonto ausführe, dann bleiben die HKLM unberührt und die HKCU werden trotzdem eingetragen? Wenn ja hat sich das Problem ja ganz leicht gelöst

Ich weiss es nicht 100%, aber soweit ich das vermute, arbeitet er das stumpf von oben nach unten ab und bricht beim ersten Eintrag, den er nicht vornehmen kann, mit ner Messagebox ab. Ist also ne Frage der Reihenfolge, und natürlich ist die Messagebox, die die nicht-Admin-User bekommen nicht gerade schön. Daher ist die Trennung von HKCU und HKLM-Sachen in eigene Registryfiles anzuraten.

Zitat

In die Policies des Benutzers kann der Benutzer selbst nicht schreiben.

Das ist natürlich wahr ... Da bringt dann tatsächlich nur ne Richtlinie was, bzw. halt ne Enumerierung von nem Administrator-Konto. Wobei letzteres in ner Domäne mit servergespeicherten Profilen nicht so ohne weiteres funktioniert, da die anderen User erst in den HKU-Hive geladen werden müssten.

[ShadowHunter]

was dein vorschlag mit dem run machen soll ist mir schon klar nur der erste satz war vom "deutsch" her nicht so verständlich 8)
nur hab ich sowieos nur 2 konten ein adminkonto und ein benutzerkonto also hab ichdas problem mit einem weiteren nutzer nicht und selbst wenn hats da ja auch von hand recht schnell alles erledigt.

dann werd ich die einfach aufteilen in hkcu/hklm

die mit der policy sind dann doch einige einträge, ok es würde von Hand gehen aber ist halt "aufwendig" daher ist mir eben eine einfache schnelle und dennoch saubere lösung wichtig. Falls es nicht anders geht ok, aber da ich eh eine SecurityCD machen will solllte das auch für leihen einfach sein, kurze anleitung und dnan einfach nur doppelklick 8)
Zurnot halt für die Policy kurzzeitig Adminrechte (offline natürlich) eintragen und wieder eingeschränkt.

[Lofote]

Zitat

nur hab ich sowieos nur 2 konten ein adminkonto und ein benutzerkonto also hab ichdas problem mit einem weiteren nutzer nicht und selbst wenn hats da ja auch von hand recht schnell alles erledigt.

Du hast es dann, wenn es dein Userkonto zerschnetzelt hat und du ein neues machst. Wenn du dran denkst, ist alles in Ordnung, aber du musst halt dran denken ...

[ShadowHunter]

hab nich umsonst mir die ganze Arbeit gemacht 8) Außerdem wird die reg doch bei jedem Start ausgeführt muss ja auch nicht sein.

Das mit den Policies muss nur noch klappen glaub dann bin ich fürs erste fertig dann gehts an die CD-Erstellung, hoff Kollege lässt die mich dann bei sich aufm Server hosten

[Rika]

@ShaodwHunter: _potentiell_ gefährliche Dienste. Jetzt solltest du mit Spy++ nachschauen, welcher der Dienste Fenster öffnet, und alle, die das tun, sind definitiv eine Möglichkeit für Privlege Escalation. Die Windows-Systemdienste tun das nicht, aber der ATI Hotkey Poller glaube ich schon.

[ShadowHunter]

Sry aber wo find ich den Spy++ im Netz gibts einige angepasste Versionen und wenn ich mich net verlesen hab, ist der originale Spy++ bei Windows dabei oder bei VisualStudio.

[Graumagier]

Als Alternativen gibt's Window Finder oder SysTree++.

[ShadowHunter]

Process: 0000042C - ati2evxx.exe
Thread: 00000EC0
Window: 0003003C "ATI video bios poller client" ATI VIDEO BIOS WINDOW CLASS

Hab ihn also Sicherheitshalber mal deaktiviert.
Die restlichen Prozesse die "Windows" aufmachen sind explorer.exe etc. 8)

[Kenny]

hey da sind wirklich ein paar tolle sachen dabei, aber bezüglich dem maxmem eintrag bei der boot.ini hab ich noch ne frage.
wird der restliche speicher dann nur nicht mehr von windows benutzt, aber schon von allen anderen programmen oder braucht man da spezielle programme um den wieder zu nutzen? ich denke da an 7-max, was so toll funzen soll...

Dieser Beitrag wurde von Kenny bearbeitet: 22. April 2006 - 17:59

[Lofote]

Zitat

hab nich umsonst mir die ganze Arbeit gemacht 8) Außerdem wird die reg doch bei jedem Start ausgeführt muss ja auch nicht sein.

Warum nicht? Dadurch, dass die Registry ne indexierte Datenbank ist geht das sehr schnell. Ich hab hier ne .REG mit 2810 Zeilen, der Import dauert <1 Sekunden. Vorteil: Wenn dir irgendne Softe das verstellt, ists beim nächsten Login wieder da ...

[ShadowHunter]

ok wäre mal was zum testen 8)
aber viel wichtiger is es, dass ich des mit den HKCU und Policies vernünftig hinbekommen. ok hkcu einfach aufteilen aber die policies 8( bleibt zurnot nur des mit admin rechten