Immer wieder die gleiche Leier! Ich muss lokale Admin Rechte haben, damit ich Dies und Das machen kann. Wozu werden diese überaus brisanten Privilegien genutzt?

Korrekt! Mails lesen und zum Surfen. Am liebsten dann noch am DC mit Login als Domain Admin. Ok, ich gebe zu, dass es Ab und zu Situationen gibt, bei denen man wirklich diese Rechte benötigt. Aber NIEMALS zum Mails lesen oder ähnliches!!!!!!!!!!! Damit diese Situation nicht gegen einen verwendet werden kann, wenn man einen Datentransfer machen muss und die loakalen Adminrecht besitzt kann man sich mit einem kleinen Tool behelfen.

DropMyRights 

ist ein Script, das temorär die administrativen Rechte von einem Task, wie z.B. dem Internet Explorer entfernt. Dabei werden die SID und Privilegien einfach entfernt.

Um die Aktion transparent laufen zu lassen, kann man den Aufruf über das Icon erledigen und die Anwendung wird entsprechend gedroppt.

Beispiel:

C:\tools\dropmyrights.exe "c:\programme\internet explorer\iexplore.exe"

Durch die Investition dieser 5 Sekunden Security kann man sich effizent gegen Viren, Trojaner und Rootkits verteidigen. Dadurch wird aber nicht der Virenscanner und andere Schutzsoftware ersetzt.

Download Link:

http://msdn2.microsoft.com/en-us/library/ms972827.aspx


 
Categories: ATE | Security | Security4Everyone

July 5, 2007
@ 01:38 PM

Was ist ein Dirty Flag?

Nichts schlimmes. Dieser Flag wird gesetzt, wenn die z.B. Meldung vom System kommt, dass nicht alle Daten geschrieben werden konnten, wenn man z.B. mal wieder den USB-Stick entfernt ohne ihn vorher zu deaktivieren! Damit sich keine Inkonsistenz in das Filesystem einschleicht wird zuerst das Dirty Flag gesetzt und nach Abschluß des Zugriffs wieder gelöscht. Wenn man nun Windows neu Bootet kontrolliert das System automatisch ob es irgendwo ein Dirtyflag findet.

Ist die Suche mit Erfolg gekrönt, wird sofort eine Überprüfung mittels CHKDSK vorgeschlagen, egal auf welchem Volumen das Flag erkannt wurde. Daher stammt auch immer der spontane Bootabbruch der viele Leute an den Rand eines Herzinfakt führt.

Es gibt ein Tool, mit dem im Vorfeld überprüfen kann, ob das Flag gesetzt wurde.

FSUTIL (= File System Utility)

Syntax

fsutil dirty {query | set} Volumepfadname

Parameter

query

Fragt das fehlerhafte Bit ab.

set

Setzt das fehlerhafte Bit eines Volumes

Ich hoffe, dass ich damit ein wenig Licht in den Vorgang bringen konnte.


 
Categories: ATE | Security | Security4Everyone