Hier im Firmennetzwerk scheint sich gerade ein Sicherheitsloch aufzutun. Vor 2 Wochen hat sich bei Besuch einer Website bei einem User eine Fakeware "Antivirus 2009" installiert. Da stellt sich natürlich die Frage, wie sich diese Software überhaupt ohne Adminrechte installieren konnte (Programmordner war angelegt, Icons waren angelegt und in der Registrierung sind Einträge gewesen). Dabei kann der Anwender hier eigentlich keine Software auf eigene Faust installieren.

Dann haben wir eben einmal getestet: Adobe Flash 9 lässt sich nicht installieren, ein CAD-Plugin lässt sich nicht installieren und Microsoft-Software ebenfalls nicht. Dann kommt jeweils eine Meldung, dass man nicht genügend Rechte hat.

Dann aber eine kleinere Software: 7zip. Lässt sich ohne Probleme vollständig installieren. Wieso? Wo ist der Unterschied? Was genau bedeutet "Adminrechte erforderlich"? Wofür genau? Für Einträge in der Registrierung? Für Ordneranlegen in anderen User-Ordnern?

Wie kann ich dieses Loch stopfen? Heute surft vielleicht wieder jemand durchs Netz und installiert sich aus Versehen eine Malware, scheinbar ist das ja kein Problem für diese kleinen Programme (ich denke jetzt darüber nach, auf allen PCs eine PFW zu installieren, um fremde exe-Dateien am Ausführen zu hindern).

domänen-benutzer heisst nicht, dass es keine lokalen Adminrechte hat, ein Domänen-User kann auch in der Gruppe der lokalen Administratoren stecken. Überprüf das mal. Desweiteren kann es sein, dass er Kennwörter ausspioniert hat, lokales Adminpasswort evtl. resetten und das gleiche beim Domänen-Admin überprüfen. Das Windows Rechte System kann man nicht eben so mal knacken, meistens sitzt das Problem vor dem Rechner.

Benutzer haben keine Rechte in HKLM der Registry und in bestimmte Ordner (C:\Programme, c:\windows usw.) zu schreiben. Im Gegensatz zu Vista hat Xp/2000 allerdings kein UAC und merkt nicht immer zuverlässig ob wirklich eine Installation ausgeführt wird. Ein kleines Programm welches keine Schreibrechte in einem gesperrten Bereich benötigt, kann dann auch schnell installiert werden, z.B. in "Eigene Dateien".

Check doch mal stichprobenartig einige Standardberechtigungen wie z.B.
- C:\Programme -> Standarduser hat/sollte haben Nur Lese-/Ausführen-Berechtigung
- HKEY_LOCAL_MACHINE\SOFTWARE -> Standarduser hat/sollte haben Nur Lese-Rechte
- C:\Dokumente und Einstellungen\All Users -> Standarduser hat/sollte haben Nur Lese-/Ausführen-Berechtigung

Wenn das alles noch so gesetzt ist, sollte auch keine Software zu installieren sein, welche nicht nur den entspr. User betrifft.

Check ich morgen mal durch. Das PW hat er nicht ausspioniert, es klappt mit 4 zufällig ausgewählten anderen Accounts genauso. Die Frage ist, was macht 7zip (und sicher einige kleinere andere auch) anders als andere Software?

Wohin genau hat sich denn 7zip installiert? Wo zeigen die Verknüpfungen hin? Unter 'Systemsteuerung' -> 'Software' dürften sich auch nur Anwendungen mit Admin-Rechten eintragen können.

Im Allgemeinen würde ich dir raten die gesamten Rechte im Filesystem mal anzuschauen. Ich schätze mal das "jeder" Vollzugriff auf "c:\Program Files" hat!
Von daher, dem Nutzer "Jeder" oder "Domain\Authenticated Users" Vollzugriff oder Änderungs Rechte auf:
C:\Program Files
C:\Documents and Settings\All users
C:\Windows

entziehen!
Es gibt aber software die benötigt schreibrechte auf den Installationsordner unter c:\program Files. Sofern die Software bei euch nicht paketiert wird, kann es sein, dass ihr damit dann in arge probleme reinlauft!

Flash9 und die MS Software versuchen sich definitiv in den Local Machine Teil der Registry zu schreiben. Das geht bei einem normalen Nutzer komplett schief, da allein schon der Nutzer "Jeder" in der Registry erst garnicht anzutreffen ist.

Schön, der Standard-Domain-User darf regedit starten, Schlüssel eintragen und auf \Programme vollständig zugreifen und Ordner anlegen. Er ist quasi ein Hauptbenutzer, zwar nicht mit Adminrechten, aber weitreichende Rechte. Da hat wohl jemand, der damals die Gruppe konfiguriert hat, an sowas nicht gedacht.

Was nun? Soll ich eine GPO erstellen, die verbietet, dass der User auf bestimmte Ordner zugreift? Können dann die Programme überhaupt noch drauf zugreifen? Oder soll ich die Gruppe "Domänenbenutzer" ändern? (erstmal eine Kopie anlegen und damit testen natürlich... ) ...

Beschreib doch mal die Gruppenstruktur, welche die Zugriffe ermöglicht. Sind die Domänen-Benutzer Mitglied der lokalen Hauptbenutzer? Die sollten eigentlich nur bei den 'normalen' Benutzern drin sein.

Habs gefunden. Die Domänen-Benutzer sind Mitglied der Gruppe "lokale Hauptbenutzer". Das sollte ich mal ändern...

und sach ma, du bist FullTime-Admin in deiner Firma? wenn ja, dann würde dir empfehlen den MCSA zu machen... wenn ich solche sachen lese Oder soll ich die Gruppe "Domänenbenutzer" ändern? läuft's mir kalt den rücken runter.

Habs gefunden. Die Domänen-Benutzer sind Mitglied der Gruppe "lokale Hauptbenutzer". Das sollte ich mal ändern...

Es kann sein das nach dieser Änderung einige Applikationen nicht mehr laufen werden!
Anders gesagt teste diese Änderung erst mit allen Applikationen die bei euch eingesetzt werden. Es gibt Software die wie gesagt auf dem installations Ordner in Program Files Change rechte benötigt! Des weiteren gibt es auch noch Applikationen welche auf bestimmte, meist selbst installierte, Dateien im Windows Ordner change rechte benötigen, registry ist auch noch ein Thema.

Diese Einstellungen wurden wohl mal deswegen vorgenommen da es sich einfacher, wenn auch falsch, Administrieren lässt wenn "Domain user" = "Hauptbenutzer" ist.
Wenn nun also Domain user = benutzer ist muss man sich Gedanken über Softwarepaketierung machen! Oder aber du bist, je nach Größe der Firma und Anzahl der Applikationen, damit beschäftigt die Rechte irgendwie wieder glatt zu ziehen.

und sach ma, du bist FullTime-Admin in deiner Firma? wenn ja, dann würde dir empfehlen den MCSA zu machen... wenn ich solche sachen lese läuft's mir kalt den rücken runter.

Nimm mein Zitat lieber nicht zu wörtlich, sonst muss ich das als Beleidigung sehen ;) Glaubst Du ernsthaft ich spiele mal eben an einer Domänen-Gruppe für 300 User rum? Ich bin hier nicht der Hauptadmin, ich bin nur der, der dem Admin auf die Schulter klopft wenn es Sicherheitslücken wie diese gibt.

Ich werd jetzt erstmal eine Kopie der Domänen-Benutzer Gruppe machen und dieser die lokalen Hauptuser-Rechte entziehen, die teste ich dann mal einige Tage mit verschiedenster Software durch.

WhiteVelvet

Versuch dann mal als User die Sprache in Word umzuschalten... das gab schon Ärger, auch wenn ich nicht mehr genau weiss, was die alles umgewürgt haben wollten.

Nimm mein Zitat lieber nicht zu wörtlich, sonst muss ich das als Beleidigung sehen ;) Glaubst Du ernsthaft ich spiele mal eben an einer Domänen-Gruppe für 300 User rum? Ich bin hier nicht der Hauptadmin, ich bin nur der, der dem Admin auf die Schulter klopft wenn es Sicherheitslücken wie diese gibt.

Ich werd jetzt erstmal eine Kopie der Domänen-Benutzer Gruppe machen und dieser die lokalen Hauptuser-Rechte entziehen, die teste ich dann mal einige Tage mit verschiedenster Software durch.

Warum so kompliziert? nimm dir einen Rechner und nehm dort die Domain user aus den Hauptbenutzern raus und in die user Gruppe rein.

Eventuell sollte bei 300 Nutzern hierüber oder etwas ähnliches (z.B. Altiris) nachgedacht werden:
http://www.microsoft.com/smserver/default.mspx

Spart definitiv Zeit!