Ungewollte Systemeingriffe

Computer: Software & Programmierung Windows
1

Hallo Allerseits,

wir haben als Bildschirmarbeitsplätze Windows XP SP1-Systeme eingerichtet. Der User hat so gut wie keine Rechte. Keine rechte Maustaste. Keine sichtbaren Menüs außer Ausloggen und Herunterfahren und Programme. Der Desktop ist grün ohne Icons. Jetzt ist es aber jemand gelungen, die Taskleiste bzw. den Quick-Lunch-Bereich die Hintergrunddarstellung und die Soundeinstellungen zu verändern. Darin sind jetzt „My Documents“, eine gemountete Netzwerkverbindung (zu einer anderen Arbeitsstation) und noch diverse andere Sachen enthalten. Die Rechner stehen in Schweden und sind nur über superlangsame Remoteverbindungen erreichbar. Wenn der normale User eingeloggt ist, funktioniert die rechte Maustaste immer noch nicht (habe ich kurz geprüft).

Meine Fragen sind nun:

  1. Wie kann man das Rechtesystem umgehen, obwohl man nicht als Administrator angemeldet ist, bzw. wo könnte der Konfigurationsfehler (so denn einer möglich ist) liegen?

  2. Wo findet man die Einträge in der Registry, damit ich mit dem normalen Administrator die Oberfläche wieder in das eigentliche Design ändern kann?

  3. Es waren das Booten von Floppy und USB aktiv. Ich kenne diverse Tools, mit dem man die Passwörter der verschiedenen User ändern kann, dann wäre es aber ein anderes. Somit kann ich nicht glauben, dass die Person so vorgegangen sein könnte.

  4. Ist ein Sicherheitsloch im Windows bekannt, das solche Manipulationen zulässt?

  5. Für den remoten Zugriff läuft auf den Rechnern ein Ultra-VNC-Server. Ist über eine solche Verbindung ein Sicherheitsloch bekannt?

Da der Zugriff sehr unbequem ist, möchte ich vorab so viel Informationen wie möglich sammeln und bin für jede Info dankbar. Zwar konnte noch niemand essentielle Veränderungen durchführen aber über kurz oder lang ist mehr zu befürchten.

Sollten noch mehr Info nötig sein, bitte kurz fragen.

Danke im Voraus.

MfG

Andreas Lange

2

Hi,

ob’s hier zutrifft, weiß ich natürlich nicht, aber bei manchen Systemen konnte man über den Adobe Reader auf die Dateiebene kommen und dort dummes Zeug machen.

Viele Grüße
WoDi

3

Hallo,

hier ein paar Tips die helfen könnten

  • es gibt ein Problem unter Win32, wenn der Explorer als Shell läuft. Da die Shell immer mit Systemrechten läuft reicht es unter bestimmten Umständen ein Explorerfenster zu öffnen, um Zugriff auf das System zu bekommen. Das funktioniert recht zuverlässig mit IE-Plugins wie dem Acrobatreader, welche die Windows-Standarddialoge umgehen.
    Abhilfe schafft hier evtl. die Einstellung
    Ordneroptionen => Ansicht => Ordnerfenster im eigenen Prozess starten
    Oder einfach die Hauptanwendung als Shell starten.

  • Die rechte Maustaste ist wie deaktiviert worden ?
    Mit Shift+F10 kann man auch über die Tastatur das Kontextmenü öffnen.
    Gleiches gilt natürlich für die Kontexttaste

  • Windows + E startet den Explorer im Tree-Modus

  • Windows + F startet den Suchdialog mit dem man dann eine Commandozeile öffnen könnte. Ist der Zugriff auf das Windowsverzeichnis nicht kpl. gesperrt, kann evtl. eine Batchdatei angelegt oder eine Ini-Datei manipuliert werden. Gleiches gilt natürlich für das Userverzeichnis und die Startleiste.

  • Den RunAs-Dienst (wenn nicht benötigt) deaktivieren.

  • Wenn die Anwendung des Users mit erweiterten Rechten läuft (admin) gibt es von dort evtl. einen Weg ins System. Beliebt sind Hilfeseiten und Eingabeaufforderungen.

Mit was für einer Anwendung arbeiten die User denn ?

Welche UltaVNC-Version ist es denn ?

http://www.securitytracker.com/alerts/2004/Jan/10087…

Cia

Sven

http://www.sven-of-nine.de

4

Nachtrag
mit BartPE kann man den PC von USB booten und hat dann vollen Zugriff auf die Platten. Man braucht also das Kennwort nicht entschlüsseln.

http://www.nu2.nu/pebuilder/

Wird EFS eingesetzt ?

5

Hallo Sven,

  • es gibt ein Problem unter Win32, wenn der Explorer als Shell
    läuft. Da die Shell immer mit Systemrechten läuft reicht es
    unter bestimmten Umständen ein Explorerfenster zu öffnen, um
    Zugriff auf das System zu bekommen. Das funktioniert recht
    zuverlässig mit IE-Plugins wie dem Acrobatreader, welche die
    Windows-Standarddialoge umgehen.
    Abhilfe schafft hier evtl. die Einstellung
    Ordneroptionen => Ansicht => Ordnerfenster im eigenen
    Prozess starten
    Oder einfach die Hauptanwendung als Shell starten.
  • Die rechte Maustaste ist wie deaktiviert worden ?
    Mit Shift+F10 kann man auch über die Tastatur das Kontextmenü
    öffnen.
    Gleiches gilt natürlich für die Kontexttaste
  • Windows + E startet den Explorer im Tree-Modus
  • Windows + F startet den Suchdialog mit dem man dann eine
    Commandozeile öffnen könnte. Ist der Zugriff auf das
    Windowsverzeichnis nicht kpl. gesperrt, kann evtl. eine
    Batchdatei angelegt oder eine Ini-Datei manipuliert werden.
    Gleiches gilt natürlich für das Userverzeichnis und die
    Startleiste.
  • Den RunAs-Dienst (wenn nicht benötigt) deaktivieren.
  • Wenn die Anwendung des Users mit erweiterten Rechten läuft
    (admin) gibt es von dort evtl. einen Weg ins System. Beliebt
    sind Hilfeseiten und Eingabeaufforderungen.

Werde ich so schnell wie möglich.rüfen. Das Problem ist, dass die Teile vor meiner Zeit konfiguriert worden sind und ich so gut wie keinen Zugriff habe, da ca. 24 Stunden an den Terminals gearbeitet wird.

Mit was für einer Anwendung arbeiten die User denn ?

Eine von meiner Firma programmierte Anwendung, bei der Bilder auf Adressen hin kontrolliert werden.

Welche UltaVNC-Version ist es denn ?

Werd ich prüfen.

http://www.securitytracker.com/alerts/2004/Jan/10087…

Danke für die vielen Tips. Es kann mit dem Prüfen aber ewas dauern, da ich öfter im Ausland bin. Also nicht beleidigt sein, wenn es etwas länger dauert.

MfG

Andreas Lange

6

Hallo Sven,

mit BartPE kann man den PC von USB booten und hat dann vollen
Zugriff auf die Platten. Man braucht also das Kennwort nicht
entschlüsseln.

Das kenne ich. Mir ist es aber bis dato noch nicht gelungen eine funktionsfähige BartPE-Version zu kreieren, die keinen Blue Screen produziert. Aber vielleicht hat derjenige ja mehr Ahnung als ich…

Wird EFS eingesetzt ?

Nein.

Danke für die Infos.

MfG

Andreas Lange

7

Hallo wodi,

ob’s hier zutrifft, weiß ich natürlich nicht, aber bei manchen
Systemen konnte man über den Adobe Reader auf die Dateiebene
kommen und dort dummes Zeug machen.

hier leider nicht, da kein Reader installiert ist.

Danke für den Tip.

MfG

Andreas Lange