Wie unsicheres Kommandozeilen-Tool b. Ausführung abschirmen?

Das Forum rund um Windows sowie Hard- und Software, die mit diesem Betriebssystem laufen.

Wie unsicheres Kommandozeilen-Tool b. Ausführung abschirmen?

Beitragvon michaelw » Di 06 Jan, 2009 11:38

Ich bin gerade dabei mir ein Batch Script zur automatischen Steuerung von diversen Aufgaben zu schreiben.

Leider komme ich dabei nicht ganz ohne den Einsatz von kleinen Tools aus dem Internet aus die auf der DOS Kommandozeile von Win XP laufen. Bei den Quellen dieser Tools lässt sich aber nicht sicher sagen, ob die Tools wirklich sicher sind und man ihnen das tägl. unbeaufsichtigte Laufen auf wichtigen PCs zutrauen kann.

Daher möchte ich die Tools möglichst abgeschottet mit möglichst wenig Rechten ausführen.
Wie kann ich das nun am besten bewerkstelligen?

Soll ich z.B. in Windows einen eigenen Benutzer mit möglichst wenig Rechten erschaffen unter dessen Kennung ich dann mittels "runas" Befehl die Tools ausführe?
michaelw
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 400
Registriert: So 24 Okt, 2004 04:48

Beitragvon lordpeng » Di 06 Jan, 2009 13:43

ja, entziehe den standard-benutzern die ausführungsrechte der entsprechenden programme und machs mit runas, allerdings hast dann das problem, dass das kennwort an runas übergeben werden muss, das kennwort kannst zwar zwischenspeichern, aber das ist vermutlich nicht was du willst, du musst dir also überlegen wann bzw. wie du deine programme aufrufst (bsp. in einem logon bzw. logoff script)
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon zigan » Di 06 Jan, 2009 17:10

was sollen diese "tools" denn alles können,
normalerweise kannst mit dem windows resource kit tools fast alles abdecken
Tante Jolesch: „Was ein Mann schöner is wie ein Aff, is ein Luxus!“.

denkt dran.... vor nicht alzulanger (in universumsmassstäben gemessen) hockten wir noch auf bäumen...
zigan
Board-User Level 2
Board-User Level 2
 
Beiträge: 883
Registriert: Di 30 Mai, 2006 10:07
Wohnort: wien..tut mir eh leid

Beitragvon lordpeng » Di 06 Jan, 2009 17:25

wobei die tools ausm resource kit auch ned unbedingt für jeden user auf dem lokalen rechner zugänglich sein sollten - ich hab den beitrag so aufgefasst, dass er seine tools schon hat (welche auch immer) und da lediglich die ausführung beschränken will, was ja generell nicht verkehrt ist
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon michaelw » Di 06 Jan, 2009 18:12

Ein Log Tool und ein Wake on LAN Tool.
michaelw
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 400
Registriert: So 24 Okt, 2004 04:48

Beitragvon penguinforce » Di 06 Jan, 2009 20:59

das sind doch daemons (services), die sollten im hintergrund sowieso rennen, auch wenn keiner eingeloggt ist...

und daemons stoppen und starten kann man eh erst mit einem user mit der entsprechenden rolle lt. rbac

:diabolic:
penguinforce
 

Beitragvon lordpeng » Di 06 Jan, 2009 21:13

also ich bin da ned so sicher, ob es sich um dienste handelt ein tool um WOL packerl zu verschicken als dienst macht ned zwangsläufig sinn - und die beschreibung 'log-tool' kann auch auf alles mögliche zutreffen ...

wenn die teile allerdings sowieso automatisch und zu einer fixen zeit ausgeführt werden sollen, isses wohl das einfachste dafür einen user und einen entsprechenden task anzulegen, alternativ gäbs noch das tool runasservices (aber nicht kostenlos) - allerdings ist das glaub ich ned, was der OP sucht ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon michaelw » Mi 07 Jan, 2009 14:34

Ich suche einfach nach der besten Möglichkeit um die beiden kleinen Tool .exe Dateien bei der Ausführung möglichst abzuschotten, falls sie doch irgendwelchen verstecken Spionage- oder Schadcode enthalten.
michaelw
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 400
Registriert: So 24 Okt, 2004 04:48

Beitragvon penguinforce » Mi 07 Jan, 2009 15:20

du willst eine ehrliche antwort? -> die software nicht einsetzen - wenn möglich auf opensource-derivate der programme ausweichen, ansonst verzicht üben.

:diabolic:
penguinforce
 

Beitragvon lordpeng » Mi 07 Jan, 2009 15:51

applikationsvirtualisierung heisst das zauberwort - gibt hier verschiedene programme, die dir das machen, von sandboxie bis hin zu thinstall
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon michaelw » Do 08 Jan, 2009 21:30

Tja sandboxie stammt selber widerum von einer mir unbekannten Quelle und thinstall kostet günstige 7000 EUR. LOL
michaelw
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 400
Registriert: So 24 Okt, 2004 04:48

Beitragvon lordpeng » Do 08 Jan, 2009 22:12

was sagt uns das? du stehst vor einem henne-ei problem entweder viel geld für eine lösung ausgeben oder einer unbekannten software vertrauen - opensource wäre natürlich eine alternative, allerdings kann dir auch keiner für die sicherheit des programms garantieren, abgesehen davon müsstest du es ja um sicher zu gehen auch noch selbst kompilieren - weil ich kann gleich mal behaupten, dass sepp.exe aus sepp.cpp kompiliert wurde ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon wicked_one » Fr 09 Jan, 2009 12:40

Das Problem ist irgendwie das eine .exe nunmal eine .exe ist, irgendwie sehe auch in Beschränkung der Nutzerrechte nicht viel erfolg darin, wenn sich der Schadcode in der .exe versteckt... ich versteh ja nicht viel von Programmieren, aber das ich eine .exe so beschneiden kann das sie nur teilweise ausführbar ist, wäre mir neu

Da bleibt wohl nur RE und den Quellcode auf Schadsoftware untersuchen? ^^
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon michaelw » Fr 09 Jan, 2009 14:05

Assembler Code analysiern kann ich aber nicht und will ich mir auch nicht antun.
Für das Wake on LAN Tool hab ich mir im sourceforge.net ein kleines Tool mit C Quellcode gesucht und selber kompiliert.

Falls sich für das Log Tool hier keine gute Lösung auftut werde ich mit dem nun aufgefrischten Wissen über Komadozeilen Programme in C schreiben auch das selber machen probieren...
michaelw
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 400
Registriert: So 24 Okt, 2004 04:48

Beitragvon jutta » Fr 09 Jan, 2009 14:58

> entweder viel geld für eine lösung ausgeben oder einer unbekannten software vertrauen

imo gibt es schon noch ein paar moeglichkeiten, die gefahr einzugrenzen:

-) kontakt mit dem programmierer oder mit dem anbieter des tools aufnehmen.
-) den namen des tools in die lieblingssuchmaschine werfen (auch in mehrere). wenn es bei anderen probleme verursacht hat, findet man das sicher bald raus.
-) den namen des programmierers in die lieblingssuchmaschine werfen
-) auf einen vom lan getrennten testrechner installieren, dort eine zeitlang laufen lassen und beobachten. dabei wireshark oder aehnliches mitlaufen lassen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Nächste

Zurück zu WINDOWS

Wer ist online?

Mitglieder in diesem Forum: Trendiction [Crawler], Yandex [Crawler] und 5 Gäste