Sicherheit als Admin?

Hallo Zusammen,

hätte 'mal wieder 'ne Frage die ich zu lösen nicht imstande bin.
Im Forum habe nichts finden können 'gegoogelt' habe ich auch ergebnislos.

Zur Installation von Programmen usw. muß ich wohl oder übel meinen User als Admin anmelden. Soweit so gut, ich vergesse aber (immer öfter, auf Grund meines Alters) daß ich diese Anmeldung zurücknehme und bin dann ungeschützt im Internet.

Gibt es die Möglichkeit (wie früher) z.B. eine Batch- bzw./oder eine .pif-Datei zu schreiben welche bei Aufruf des IE oder auch Firefoxes feststellt daß ich eigentlich im Adminmode bin? Eine Warnung bzw. das Verhindern eines Zugriffes wäre nicht schlecht.

Ist solches möglich und wenn ja - wie ist das zu bewerkstelligen.

Danke im voraus für Hinweise

MfG Doofchen

 

Ich bin, natürlich entsprechend Geschützt durch Firewall (XP eigene), AntiVirus (Kaspersky) und Microsoft Antispyware Tool, immer als Admin unterwegs. Habe gar kein anderes Konto für mich. Trotzdem bisher keine Probleme (Zufall, Glück oder ist der Rest nur "Panikmache" um etwas zu verkaufen???).

Ob es ein Script oder Batch dafür gibt kann ich Dir leider auch nicht sagen, dieses Problem stellt sich für mich, wie gesagt, nicht.

 

Normalerweise ist es ja umgekehrt: Der Admin sperrt einem User den Zugriff aufs Internet.
Sollte trotzdem machbar sein über Systemsteuerung-Benutzerkonten. Welches Betriebssystem hast du?

Ohh nein! Du bist lediglich diszipliniert und hast auch das nötige Quentchen Glück. Eingeschränkte Konten sind allerererste Wahl in Sachen Sicherheit. Denn alle Sicherheitssoftware muss im Adminkonto offene Türen schützen, die es im eingeschränkten Konto erst garnicht gibt.

 

Oh nein, diszipliniert bin ich nicht.
Wie bereits angemerkt bin ich lediglich mit meinem Admin-Konto Online. Ich mache dies seit Jahren so (Bequemlichkeit nennt man so etwas, glaub ich.... ). Trotzdem hatte ich noch nie "unwillkommenen Gäste, welche auf meinem Rechner ihr Unwesen trieben".

Vielleicht hab ich auch nur Glück...........

 

Es gibt da einen Registryeintrag mit dem die Infoleiste des IE verändert werden kann. Dann kann man da ADMINISTRATOR eintragen.
Bei mir sieht das Adminkonto zur Unterscheidung anders aus als das des Benutzers. Z.B. habe ich da ganz andere Programme in der Schnellstartleiste neben dem Start-Button. Da fehlen dann die Programme zum Surfen.

 

Danke erstmal für die Hinweise bis jetzt.

@steppl, ich habe WINDOW XP HOME

@deoroller,

Nicht schlecht, aber falls ein Programm (gewollt oder ungewollt) einen Zugriff auf das Netz macht kann ich das nicht erkennen.

Ich habe auch schon per Batch an eine Abfrage über die Umgebungsvariabeln gedacht (Username, Userprofile; als Sandbox für den IE und andere Programme), aber aus dem genannten Grund wieder verworfen.

Interessant wäre es, wenn man eine TCP/IP-Bewegungen gemeldet bekäme - das ist aber vermutlich nur ein Wunschtraum.

Schöne Grüße Helmut

 

Vielleicht ist dies etwas für dich
http://www.sysinternals.com/Utilities/TcpView.html

 

@uk82,

Danke! Tolles Tool, aber leider nicht für meine Ansatz zu gebrauchen. Im Prinzip macht es genau das was ich erwarten würde, aber ich brauche nur eine Information (eventuell als Funktionswert zurückgegeben) daß irgendeine TCP/IP stattfindet.
Selbst aus dem Kommandozeilen-Tool wäre es ein irrer Aufwand diese Info zu filtern - außerdem für mich vermutlich ohnehin unmöglich dies zu bewerstelligen.

Eigentlich schon verrückt! Ein Admin der sich selbst einschränken will.

Eigentlich eine Herausforderung für echte Gurus.

Schöne Grüße Helmut

 

Du könntest den IE lahmlegen, indem bei der Datei mshtml.dll der Administrator in den Sicheitseinstellungen gelöscht wird.
Ich bin mir aber über die Nebenwirkungen nicht im klaren, da ich das nur mit dem Benutzer gemacht habe.
http://oschad.de/wiki/index.php/InternetExplorer

 

Ein guter Geist des Forums flüsterte mir gerade folgende Möglichkeit mittels Batchdatei, welche man mit dem IE verknüpft:

Der "Username" ist natürlich entsprechend deiner Bezeichnung anzupassen. Ein Versuch ist es wert.

 

@steppl,

sag Deinem guten Geist schönen Dank. Leider ist dies die Lösung, welche ich verwerfen musste (siehe Oben).
Ich habe mich bei der Problembeschreibung vermutlich etwas unglücklch ausgedrückt.
Es gibt in einem System ja 3 Administratoren.
a) System-Admin 'Super-Admin' welcher nach F8 beim Start alles darf.
b) System-Admin `Administator` aus der Systemumgebung welcher fast alles darf.
c) Admins welche temorär der Einschränkung entbunden sind nicht als Admin agieren zu können. Diese dürfen noch etwas weniger als der Vorgänger.

Genau um c) geht es bei meinem Bemühen.

"%USERNAME%"=="Nutzer" bringt hier leider nichts - sehr Schade.

@deoroller,

auch schönen Dank für den Tip. Interessanter Ansatz - brauche aber ein Weilchen um ihn als mögliche Teillösung für mein Problem einordnen zu können.

Edit: Rechtschreibung

 

Mmhh, bei mir sind es die ersten beiden, wobei der erste irrelevant ist, das Konto nutze ich ja in der täglichen Praxis nie. Genaugenommen sollte es also nur einen geben.

if "%USERNAME%"=="erster Admin" goto Warnung
if "%USERNAME%"=="zweiter Admin" goto Warnung
...
if "%USERNAME%"=="zwölfter Admin" goto Warnung

...

 

@steppl,

genau, den Super-Admin benutze ich auch nur im äußesten Notfall und den 'Administrator' zur normalen Systempflege.

Ich gehe also normalerweise mit dem eingeschränkten User 'Nutzer' ins www.
Wenn ich nun ein Programm für 'Nutzer' installiere muß ich ihn vorher zum Admin ernennen.

Eine Abfrage if "%USERNAME%"=="Nutzer" goto Warnung
geht leider immer zur Warnung ob als User oder als temporärer Admin.

Da liegt mein Problem begraben.
Ich möchte eigentlich feststellen ob 'Nutzer' zur Zeit Admin ist oder nicht.

Scheinbar ist eine solche Abfrage nur über die Registry möglich?

@deoroller,
Als 'Administrator' habe ich einen unverwechselbar anderen Desktop, so bin ich gegen ein ungewolltes Verbinden zum www einigermaßen gefeit.

 

Hallo,
beim zweiten Anlauf mein Problem zu lösen bin ich auf den Trichter gekommen - indirekt d.h. über die systemeigene Überwachung des Kopierens bzw. Umbenennen einer Datei in einem NTFS-System zu missbrauchen:

::--------

@echo off

cls
echo.

if not exist L:\BATCHES\Dummy.test goto FEHLER1
::Testkopie
copy L:\Batches\Dummy.test C:\Windows\Dummy.test > Nul
if errorlevel 1 goto AUFRUF
::Kopie gelungen, also Admin - Kopie sofort wieder löschen
del C:\Windows\Dummy.test
:Warnung
echo.
echo.
echo Vorsicht! ***** Du bist Administrator ***** !!!
echo.
echo.
echo.
echo Zum Beenden der Stapeldatei: 'Ctrl+C' oder
echo.
echo zum Aufruf des IE irgendeine aktive Taste drcken ...
pause > NUL
:AUFRUF
"C:\Programme\Internet Explorer\iexplore.exe"
exit

:FEHLER1
echo.
echo Test-Datei fehlt!
echo.
echo Programm-Abbruch mit irgendeiner aktiven Taste ...
pause > nul

@echo on

::--------

 

Die Verdreifachung ist nach meiner Meinung Käse. Man muss sich ja geradezu merken welcher Spezialadmin was kann und darf. Das ist nix für das Wesen Mensch - besonders wenn es solcherlei, äh, Gedächtnislücken bekalgt.

Logischer Ansastz: Der Super-Admin ist klinsch rein, keine Müll-Ware usw. Dann kann auch mangels Masse nichts passieren.

Muss SW installiert werden die meint Admin-Recht zu brauchen sollte immmer noch der Mechanismus des Ausführen-Als hinreichen um als normaler User alles zu bewältigen.

Wenn ich schließlich optisch alles so aufzäume, dass kein Zweifel besteht ob ich Normaluser oder Super-Admin bin ist der geplante Aufwand überflüssig. (Und vermeide ich den IE ganz habe ich auch keine Sorgen damit!)

Mir scheint also, da soll ein Problem gelöst werden das bei Licht betrachtet gar nicht existiert.

 

Als offensichtlicher Freund von BATch-Lösungen empfehle ich Dir zum Download das ResKit. Es ist natürlich auch unter (normalem) XP zu gebrauchen. - Speziell IFMEMBER.exe checkt lokale Gruppenzugehörigkeit und lässt sich per ERRORLEVEL-Var. abfragen.

HTH

 

@Eric march,

den 'Käse' hat sinnvollerweise Microsoft im System verankert - das ist halt so - man muss sich da nichts besonderes merken.

Von der Polemik 'mal abgesehen:
den thread in Ruhe durchlesen, dann kommt es nicht mehr vor, dass Empfehlungen und angedachte Lösungswege doppelt gemoppelt nochmals erscheinen.
Die Bemerkung des 'Ausführen-Als' ist hier allerdings neu - muss ich bekennen.

@Ace Piet,

der Vorschlag scheint eher in die richtige Richtung zu weisen - danke vielmals für den Tipp.

 

@Ace Piet,

genau - der Tipp ist Gold wert. Ich konnte mir nun das ganze Dateien-Gefummel sparen.

Schöne Grüße, und nochmals vielen Dank.

 

Ergänzung:

Das von MS angebotene freie ResKit ist eine Untermenge eines kommerziellen Produktes. - Es fehlen WHOAMI.exe und LOCAL.exe (zumindest, was Deine Interessen angeht). Was nicht bedeutet, dass man die nicht *irgendwo* auftreiben kann...

Gerade gesehen: WHOAMI ist Bestandteil der Support-Tools des SP2.

OT-Empfehlungen
http://www.sysinternals.com
http://www.aumha.org/free.htm

-Ace- (ergänzender Hinweis)
_______________

Voarausschau:

WHOAMI [/option] [/option] ...

Where /option is one of the following:

/ALL = Display all information in the current access token.
/NOVERBOSE = Display minimal information. *
/USER = Display user.
/GROUPS = Display groups.
/PRIV = Display privileges.
/LOGONID = Display Logon ID.
/SID = Display SIDs. *
/HELP = Display help.

Z.B. entspricht WHOAMI /groups dem IFMEMBER /list. Für Dich interessant wäre IMHO noch WHOAMI /priv (lokale SicherheitsBerechtigungen); Beisp.:

H:\Dokumente und Einstellungen\Ace-Piet>whoami /groups /priv

[Group 1] = "P3B-XP-PV\Kein"
[Group 2] = "Jeder"
...
[Group 7] = "NT-AUTORIT─T\INTERAKTIV"
[Group 8] = "NT-AUTORIT─T\Authentifizierte Benutzer"

(X) SeChangeNotifyPrivilege = Auslassen der durchsuchenden ▄berpr³fung
(O) SeSecurityPrivilege = Verwalten von ▄berwachungs- und Sicherheitsprotokollen
(O) SeBackupPrivilege = Sichern von Dateien und Verzeichnissen
(O) SeRestorePrivilege = Wiederherstellen von Dateien und Verzeichnissen
...uvm...
(X) SeLoadDriverPrivilege = Laden und Entfernen von Gerõtetreibern
(O) SeCreatePagefilePrivilege = Erstellen einer Auslagerungsdatei
(O) SeIncreaseQuotaPrivilege = Anpassen von Speicherkontingenten f³r einen Prozess
(X) SeUndockPrivilege = Entfernen des Computers von der Dockingstation
(O) SeManageVolumePrivilege = Durchf³hren von Volumewartungsaufgaben