Windows 7 verstecken * .lnk-Ziel

948
clargr1

Ich versuche, ein Programm mit Administratorrechten für normale Benutzer ausführen zu lassen (die eigentliche Software gibt einen Fehler über die Verwendung des Administratorkontos aus, ich kann Fenster durch die Registrierung umgehen). Die Sicherheit, die ich brauche, ist relativ kosmetisch (muss nicht luftdicht sein).

Daher verwende ich jetzt eine Psexec, eine Desktop-Verknüpfung mit sichtbarem Admin-Namen und Kennwort. Gibt es überhaupt eine Sperrung des Ziels für eine Verknüpfung? GPO scheint es nicht zu haben, aber ist etwas in der Registry?

Das Beste, was ich bisher hatte (was lausig ist), ist das Deaktivieren des Kontextmenüs, so dass der Benutzer nicht mit der rechten Maustaste klicken kann (er könnte trotzdem Alt + Eingabe verwenden).

Irgendwelche Gedanken wären toll.

2

1 Antwort auf die Frage

0
Iszi

Unabhängig davon, was Sie tun, ohne die Verwendung von Dienstprogrammen von Drittanbietern, gibt es immer eine Möglichkeit für Ihre Benutzer, das verwendete Administratorkennwort auf einfache Weise abzurufen, wenn Sie mit PSEXEC auf diese Weise Skripts erstellen. Dies liegt daran, dass PSEXEC das Kennwort als Befehlsparameter in Klartext an das Kennwort übergeben muss, wenn Sie nicht jedes Mal manuell eingegeben werden können.

Einige Beispielszenarien:

Das Passwort wird in den Link-Parametern angegeben:

Das Passwort ist einfach zu sehen, wenn Sie die Verknüpfungseigenschaften anzeigen.

Das Passwort wird über das Batch-Skript bereitgestellt, und Sie zeigen den Link zum Skript:

Sie können das Skript einfach über die Verknüpfungsverknüpfung finden und das Kennwort im Skript finden.

Das Kennwort wird als sichere Zeichenfolge in einer Textdatei gespeichert, die über ein PowerShell-Skript gelesen und an PSEXEC übergeben wird, und Sie zeigen den Link auf das PowerShell-Skript:

Das Kennwort ist weiterhin in den Prozesseigenschaften über den Task-Manager sichtbar.
(Ansicht-> Spalten auswählen-> Befehlszeile)


Diese letzte Option bezieht sich auf die erste Überarbeitung einer Antwort von Adi Inbar auf eine andere Frage .

Die letzte Überarbeitung der gleichen Antwort hat eine bessere Lösung, die nicht ganz so trivial ausnutzbar ist, aber jeder kann das Kennwort trotzdem aufrufen, wenn er weiß, was er tut. Es ist definitiv nichts, was ich für eines meiner eigenen Konten oder Systeme verwenden würde, aber es scheint, als würde es nach Ihren Standards akzeptablen Schutz bieten. Die Lösung lässt PSEXEC vollständig fallen und erledigt stattdessen die gesamte Arbeit in PowerShell. Ich denke jedoch, dass es noch einige Arbeit braucht, bevor es für eine Implementierung mit mehreren Benutzern funktionsfähig ist. (Ich weiß nicht genau, wie es jetzt geht. Ich werde diese Antwort aktualisieren, wenn ich es später herausfinde.) Jeder Benutzer, der Zugriff auf das Skript und seine unterstützenden Dateien hat, kann das Kennwort zwar entschlüsseln und entschlüsseln '


Wenn Sie die Software von Drittanbietern verwenden möchten, gibt es einige Tools, mit denen Sie eingeschränkte Benutzerkonten zu einer Gruppe mit "Sudoers" hinzufügen können und deren erhöhte Berechtigungen auf das direkte Starten der von Ihnen ausgewählten Anwendungen beschränken.


In jedem Fall gilt jedoch Folgendes: Wenn Sie einem Benutzer gestatten, eine Anwendung mit erhöhten Berechtigungen zu starten, können Sie ihm die Möglichkeit geben, erhöhte Berechtigungen für das zu verwenden, was die Anwendung tun kann. Umfasst das Durchsuchen des Dateisystems (z. B. über ein Dialogfeld "Öffnen" oder "Speichern"), kann der Benutzer die erhöhten Berechtigungen für andere Programme / Funktionen verwenden, auf die er keinen Zugriff haben soll.

Beispiel: Angenommen, Sie erlauben mir den Zugriff auf Ihr System und haben mein Konto so konfiguriert, dass die einzige Anwendung, die ich mit erhöhten Berechtigungen ausführen darf, Notepad ist. Vom Notizblock würde ich ...

  1. File->Open
  2. Stellen Sie den Dateityp auf "All files ( . )".
  3. Durchsuchen Sie das lokale Dateisystem an einem beliebigen Ort und führen Sie alle Dateien / Programme aus, die ich als Administrator verwenden möchte.
    • Beispiel: Navigieren Sie zu C:\Windows\System32\, klicken Sie mit der rechten Maustaste lusrmgr.msc, wählen Sie "Öffnen" aus, und fügen Sie mich mithilfe der MMC zur echten Administratorgruppe hinzu.
Danke für den Vorschlag, Iszi, ich habe auch über deine zweite Option nachgedacht. Ich kann die dritte umsetzen.
Ich würde auch über die Verwendung von [tag: runas] mit der Option / savecred nachdenken, aber die Anmeldeinformationen gehen nach dem Neustart verloren clargr1 vor 10 Jahren 0
@ clargr1 (RE: RunAs) Und dann speichern Sie die Anmeldeinformationen irgendwo als Klartext. Ernsthaft, mach das nicht. Speziell für ein Domain-Konto. Iszi vor 10 Jahren 0
@ clargr1 Beachten Sie außerdem, dass die in der dritten Option erwähnte Belichtung in der zweiten Option noch vorhanden ist. Sie können das Kennwort vom Batch-Skript * oder * vom Task-Manager erhalten. Durch die Verwendung des PowerShell-Skripts mit einem SecureString-Objekt wird die Exposition "im Skript" meistens auf ein Minimum herabgesetzt (auf die Ebene der letzten Option heruntergefahren), die Exposition im Task-Manager bleibt jedoch erhalten. Die letzte Option verringert die Offenlegung des Task-Managers vollständig und macht die Extraktion aus dem Skript etwas schwieriger als im Klartext. Iszi vor 10 Jahren 0
Nochmals vielen Dank @Iszi. Das System ist geschlossen, kein Zugang zum Internet. Die Idee ist hier das Erscheinungsbild der Sicherheit (für Vorschriften), da alle Benutzer bekannt sind und sich Computer in einem eingeschränkten Zugriffsbereich befinden. Ich werde versuchen und # 3 implementieren, wobei der Task-Manager gesperrt / robustes GPO vorhanden ist. clargr1 vor 10 Jahren 0
@ clargr1 Sie müssen noch etwas an # 3 arbeiten - genau wie bei # 4. Die in # 4 erwähnte Exposition ist auch weiterhin vorhanden. Das Kennwort ist nur ein einziger PowerShell-Einliner (nicht sehr einfach, aber dennoch), der von allen Benutzern mit Zugriff auf das Skript und die zugehörigen Dateien angezeigt wird. Iszi vor 10 Jahren 0