"Hacke" Windows Server 2003 fra tynn klient

[JOB]

Bedriften jeg jobber i holder på å oppgradere til Windows Server 2003 og Office 2003, som vil bli kjørt av de ansatte fra tynne klienter mot terminalserver.

De ansatte har i utgangspunktet få rettigheter når de logger seg på: i utforsker ser de kun sitt eget område og det er ikke mulig å innstallere programmer, men jeg har bl.a funnet ut at dersom jeg åpner "Task Manager" kan få kjørt hva som helst av programmer som allerede er installert på C-disken.

Jeg er ansatt for å teste dette systemet og skjekke at ingen "dumme" brukere kan ødelegge noe/gjøre noe de ikke skal, og trenger derfor gode ideer på hva jeg burde sjekke fra de tynne klientene.

[endrebjo]

cmd.exe og DOS-skript (.bat-filer) er vel det mest brukte verktøyet til å gjøre "djevelskap". Det er flere elever på skolen som jeg går på som har skaffet seg administratorrettigheter ved å laste ned og kjøre .bat-filer som endrer diverse instillinger i deres Windows-profil (skolen kjører svake maskiner med Win2k som ved innlogging laster elev-profiler med svært begrensete muligheter fra en Win2k Server, ikke helt det samme som tynnklient da, men).

 

Og å deaktivere ting som Task Manager er heller ikke dumt (det er deaktivert på skolen).

[Sc0RpIoN]

Deaktivere Task manager og Register editoren først og fremst.

[Wraith]

i tillegg kan du huke av "remove run from the start menu" i gpedit, så vil de heller ikke få tilgang til å starte nye programmer via task manager. For å være helt sikker så legger du inn alle programmene de får kjøre inn i "Run only allowed windows applications" i formatet filnavn.exe, så vil de ikke kunne kjøre noe annet.

 

Vær paranoid, huk av alt du finner i gpedit, husk at brukerne er dine værste fiender :-)

[JOB]

- TaskManager må være tilgjengelig for brukerne, slik at de kan stanse andre applikasjoner som henger seg opp uten å restarte alt. Og selv om "Run.." fjernes fra TaskManager, vil man jo fortsatt kunne lage en .bat som kan starte applikasjoner.

- Filene på serverne er kun skjult for brukerne, men kan altså nås ved f.eks. "Run..". Jeg fant ut at det gikk an å installere "AbsoluteFTP" som viser C-disken. (Selv om brukerne kun har lese-rettigheter.)

- Det er svært mange aplikasjoner som skal kunne kjøres, og som har mange avhengigheter, så det er heller ikke ønskelig/praktisk mulig å definere kun de applikasjonene som skal kunne startes med gpedit.

 

RegEdit og cmd.exe er ikke mulig å kjøre som vanlig bruker, heller ikke shutdown eller tsshutdwn.

[Culpa]

RegEdit og cmd.exe er ikke mulig å kjøre som vanlig bruker, heller ikke shutdown eller tsshutdwn.

[Er det mulig å kjøre disse ved bruk av window sin hjelp fil og tips?

 

Det var i hvert fall mulig på tidligere windowser der Run var fjernet.]

[JOB]

RegEdit og cmd.exe er ikke mulig å kjøre som vanlig bruker, heller ikke shutdown eller tsshutdwn.

[Er det mulig å kjøre disse ved bruk av window sin hjelp fil og tips?

 

Det var i hvert fall mulig på tidligere windowser der Run var fjernet.]

Kan ikke finne noe sted i 2003 sin Windows-hjelp der dette kan startes.

Dessuten er systemet satt opp slik at dersom de vanlige brukerne prøver å kjøre regedit får de melding om at editering av registeret er deaktivert av administrator.