Christopher 10 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Hallo! Ich habe derweil ein recht lästiges Problem, welches mich doch etwas Fuchst. Ich habe hier ein Netzwerk einer öffentlichen Bildungseinrichtung was Nachmittags als internetcafe genutzt wird. Zur Kontrolle setzen wir eine Internetcafesoftware ein, die den Benutzer Codes gibt, damit sie eine bestimmte Zeit unter ihrem eigenen Benutzernamen surfen können, danach meldet die Software den Benutzer automatisch wieder ab. Das Problem an dem ganzen ist, dass die Software als Prozess im taskmanager auftaucht. also habe ich den Aufruf des taskmgr und die Eingabeaufforderung gespeert. Jetzt haben allerdings einige finde Jugendliche "freie" Taskmanager im Netz gefunden, mit denen sie mir immer den Prozess killen können. also kam mir die Idee das Programm einfach als andere Benutzer auszuführen. Ist dies eine Möglichkeit? Falls ja wie realisiere ich das, an die Benutzeranmeldund gekoppelt? Schon einmal vielen Dank für eure Hilfe. Umgebung ist übrigens ein Win2003 Server mit laufendem AD, serverseitiger Anmeldung also sollte das ja irgendwie per GPO zu realisieren sein... Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 also mit runas wäre doch drin verknüpfung anlegen -irgendwo wos keiner sieht oder vermutet ;) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/9ab05e52-2bd5-4c3d-bfb4-ff47636b79be.mspx aber net schlecht die leute ;), kannst aber auch die seite vom securitytaskmanager oder das installieren von anwendungen verbieten, sollte auch helfen Grüße Cat Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Ich habs mal in das richtige Subforum verschoben da es sich ja um ein Problem einer Schule handelt. Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 17. Februar 2006 Autor Melden Teilen Geschrieben 17. Februar 2006 Die Frage ist ja: Löst das mein Problem? können die benutzer, nachdem ich das Programm als anderer Benutzer ausführe, ihn nicht mehr über die "fremden" taskmanager killen? Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 also ich gehe mal davon aus, dass das normale user sind und keine administratoren, sonst muss ich sagen böses faul und selbst schuld als normale user können sie keine admin-prozesse stoppen, insofern sollte das nicht funktionieren, kannst es ja mal testen ausserdem würde ich in einem Internetcafe grundsätzlich das installieren von software durch user verbieten und dann passiert dir das auch nicht mehr Zitieren Link zu diesem Kommentar
tvjunky 10 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Hallo Christopher, also um auf deine Frage zu antworten: Benutzer können, wie Cat schon sagte, nicht einfach die Prozesse anderer Benutzer killen, solange sie keine Administratoren sind. Ich kann mir ausserdem vorstellen, dass es nur eine begrenzte Menge an Anwendungen gibt, die Benutzer an euren Computern generell ausführen können und dürfen, sodass für dich die Softwareeinschränkungsrichtlinien sowie die vorgefertigten Gruppenrichtlinien für Kiosk-Computer sicher einen Blick wert wären. Ein paar nützliche Links zu dem Thema: Beispielrichtlinie: Highly Managed Computer - Kiosk Beispielrichtlinie: Highly Managed User - Kiosk Richtlinien für Softwareeinschränkung: So wird es gemacht Implementieren allgemeiner Desktopverwaltungsszenarios mit der Gruppenrichtlinien-Verwaltungskonsole Das Problem ist allerdings, Cat, dass das Verbieten von Softwareinstallationen zumeist nicht viel bringt im Vergleich zu Richtlinien für die Softwareeinschränkungen, denn Benutzer können trotzdem Software runterladen und starten, wenn diese keine Installation benötigen. Es gibt sehr viel Software, wie auch den beliebten Process Explorer von Sysinternals, die man nicht erst installieren muss um das System zu beeinflussen oder gewisse Änderungen daran vorzunehmen. Natürlich sollten Benutzer auf solchen Systemen ungeachtet dieser Tatsache und etablierter Softwareeinschränkungsrichtlinien trotzdem keine Software installieren können. Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Tja ich denke Christopher sollte erstmal was dazu sagen, wie die User angemeldet sind soll ja kein reiner Kiosk-Computer sein, da passiert ja nochmehr drauf und auch was dazu, inwiefern da schon was abgesichert wurde Vorher kann man dazu nicht vielmehr sagen Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 17. Februar 2006 Autor Melden Teilen Geschrieben 17. Februar 2006 Hallo! Erstmal danke für euren Antworten. Nein natürlich sind es keine Admin benutzer, total bescheuert bin ich auch nicht *g* Es sind ganz normale User mit stark eingeschränkten Benutzerrechten. Ich probiere das morgen einmal aus ob das dann noch funktioniert, wenn ich den prozess via runas einen anderen account das programm ausführen lasse. Programme installieren dürfen die Benutzer eigentlich nicht, allerdings gibt es ja auch im Internet einige taskmanager die man einfach nur runterladen muss und es reicht wenn man die .exe startet... Das Runterladen verbieten bekomme ich irgendwie nicht hin, vor allem weil bei uns Firefox und der Inet im Einsatz ist (habe für Firefox keine ADM Templates) Melde mich dann morgen nochmal bei euch. Schönen abend und danke! Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Hallo zusammen, @ Christopher Welche technischen Möglichkeiten hast du denn vor Ort ? Sind die PC Mitglied einer Domäne ? Hast du Zugriff auf eine Firewall ? Habt ihr einen Proxy im Einsatz ? Alle Fragen zielen darauf, den Download bestimmter Dateien zu verhindern, z.B. .exe, .cmd etc. was die User benutzen könnten, um deine Sperren zu umgehen. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Jetzt wartet erst einmal ab was Christopher morgen berichtet dann können wir weiter sehen. Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 18. Februar 2006 Autor Melden Teilen Geschrieben 18. Februar 2006 Hallo! Also mit runas hab ich so meine Probleme. irgendwie läuft das nicht so wirklich rund... Also ich hab folgendes gemacht: eine kleine bat datei geschrieben die das ganze ausführt. Inhalt: runas /user:cybuser@charlottenburg "cybcli.exe" Das geht auch soweit, allerdings muss man dabei nun immer ersteinmal Enter drücken, denn es kommt eine Passwort abfrage (ich habe für den User gerade einfach mal kein PW angelegt.) Kann ich irgendwie das Passwort im runas Befehl mit übergeben, bzw das in der bat Datei umgehen? Auf die Fragen folgende Antworten: Sind die PC Mitglied einer Domäne ? <= Yeep, name Charlottenburg. laufendes AD an einem win2003 server Hast du Zugriff auf eine Firewall ? <= Unser router fungiert als Hardware fierwall, kann allerdings auch einzelne Webseite blocken Habt ihr einen Proxy im Einsatz ? <= Nein, bisher noch nicht. Zitieren Link zu diesem Kommentar
gruml 10 Geschrieben 18. Februar 2006 Melden Teilen Geschrieben 18. Februar 2006 nimm mal /savecred mit rein, dann wird das Passwort gespeichert. Weitere infos bekommst Du über runas /? Grüße gruml Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 18. Februar 2006 Melden Teilen Geschrieben 18. Februar 2006 das hat auch den vorteil, dass du dann nur einmal das passwort eingeben musst und danach fragt er es nicht mehr ab und noch wichtiger, es taucht auch nicht in der verknüpfung auf - wo deine user doch schon so gewitzt sind Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 18. Februar 2006 Autor Melden Teilen Geschrieben 18. Februar 2006 So bin ein ganzes Stück weiter. Habe festgestellt das die Software unter bestimmten Bedingung zum abstürzen gebracht werden kann und somit die gesamte Überwachungssoftware ebenfalls raus ist. Das mit dem Abstürzen habe ich jetzt gelöst indem ein vbs script das Cybera Programm startet und, sobald der Prozess des Cybera nicht mehr aktiv ist, den Benutzer abmeldet. Perfekt das läuft schon mal. Jetzt sind nur noch die Sachen mit dem runas ein Problem... Ich hab im Netz das Program runasspc gefunden, womit es möglich ist z.B. das Passwort für einen Benutzer zu kodieren, bzw. es mir zu übergeben etc. Allerdings freezt dann bei mir das halbe System wenn der fremde Benutzer, also der unter denen der Cybera läuft, einen shutdown -l ausführt. Dann ist zwar der Cybera aus, der Benutzer wahrscheinlich auch abgemeldet, aber dafür läuft der eigentliche Benutzer noch ohne Software... Mir kam die Idee ob man einen Prozess nicht einfach schützen kann, oder verstecken (das erinnert doch irgendwie an bestimmte Rootkits..) kann. Ansonsten brauche ich sowas wie einen "mache wirklich shutdown -l ohne verluste" Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 18. Februar 2006 Autor Melden Teilen Geschrieben 18. Februar 2006 Also bin ein ganzes Stück weiter. Wenn das Programm Cybera beendet wird, soll anschliesend der aktuelle Benutzer ausgeloggt werden. Über den shutdown -l logge ich aber wohl nur den User aus, unter dem ich den Prozess gestartet habe, nicht meinen Arbeitsbenutzer. Wenn ich das richtig verstanden habe, kann man remote auch keine Benutzer ausloggen, nur runterfahren. Die Rechner sollen aber nur ausloggen und nicht herunterfahren nach dem der Cybera beendet wurde bzw. gekillt wurde. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.