Verwalteter Benutzer, Adminfrage

Dieses Thema im Forum "Software" wurde erstellt von macfux, 25. März 2005.

  1. macfux

    macfux New Member

    Wie kann ein verwalteter Benutzer mit eingeschränkten Programm-Zugriffsrechten trotzdem eine Anwendung starten, für die er keine Erlaubnis hat?

    Konkret gefragt: Wie, außer durch Erschleichung des Adminpasswortes, ist das möglich.
    Ich hab hier einen User der es irgendwie schafft ein Programm zu starten, für das er keine Erlaubnis hat.
    Wenn ich es probiere kommt auch die korrekte Meldung: sie haben nicht die Rechte......etc.
    Trotzdem kriegt ers ans Laufen.
    Ratlos

    gruß
    macfux
     
  2. Energija

    Energija New Member

    Ich habe es gerade ausprobiert. Es geht!

    Ist dem Benutzer erlaubt den Scripteditor zu verwenden?
    Wenn ja, kann er mit Apple-Script ein Programm öffnen lassen.
    Die Rechte von Apple-Script werden durch Einschränken der Benutzerrechte nicht beschnitten!

    z.B.

    tell application "Finder"
    activate
    open application "Safari"
    end tell

    oder so ähnlich (Ich kann kein Apple Script, habe es aber trotzdem geschafft)
     
  3. macfux

    macfux New Member

    Dassisja 'n Dicker Hund.
    Muss ich gleich mal schaun......(Morgen)

    Gruß
    macfux
     
  4. Pahe

    Pahe New Member

    Hallo,

    hier hilft anscheinend nur noch Apple Script nicht erlauben, denn wenn der Interpreter nicht erlaubt ist, nützt der(ein) Editor und das Wissen um Skripte alleine nichts.
    Dass man das Terminal nicht freigibt dürfte ebenfalls klar sein.

    Gruß
    Pahe
     
  5. macfux

    macfux New Member

    Apple Script geht nicht, Terminal darf er auch nicht, trotzdem hatter die "verbotenen" Programme schon wieder am laufen. Ist ja jetzt erstmal nix schlimmes, aber mich würde schon interessieren wie ein halb-dau es schafft die Benutzereinschränkungen scheinbar mühelos auszuhebeln.
    Frohe Ostern
    macfux
     
  6. MacKlausi

    MacKlausi New Member

    Frag ihn doch mal, wie er es macht
     
  7. macfux

    macfux New Member

    Gute Idee, aber das wäre unsportlich ;-) :angry:

    Abgesehen davon interessiert es mich GRUNDSÄTZLICH wie so etwas gehen kann.
    Gruß
    macfux
     
  8. MacKlausi

    MacKlausi New Member

    Und was ist, wenn er das Admin Passwort kennt.
    Dann könntest du suchen bis zum Umfallen und trotzdem keine Lücke finden.
     
  9. affenschwanz

    affenschwanz @ffenschwanzerl

    glaub auch, er hat dein Admin-PW irgendwo her.. und dann ists ein leichtes über Befehl-Info die Rechte zu ändern..

    Und sonst installier doch mal ne versteckte Kamera ;)
    Gruss
     
  10. calvin2

    calvin2 Hobbes

    Lass doch einfach mal eine vnc-Session mitlaufen, und guck dirs an :)
    Da sparst du dir die Kamera...
     
  11. Ghostuser

    Ghostuser Active Member

    Du könntest doch einmal das Admin-Passwort ändern.

    Gruss GU
     
  12. macfux

    macfux New Member

    Ich habe das Adminpasswort schon ein paar mal geändert. Daran hängts nicht.
    @calvin
    ich bin schon kurz davor einen Keylogger zu installieren.
    Was ist eine vnc Session?
    Gruß
    macfux
     
  13. michael78

    michael78 New Member

    Vielleicht hat ein anderer installierter Benutzer admin-Rechte und er wverwendet dieses Kennwort.
     
  14. calvin2

    calvin2 Hobbes

    VNC steht für Virtual Network Computing, und so ungefähr funktionierts:
    Du installierst auf dem zu beobachtenden Rechner einen VNC-Server
    z.B.:OSXvnc

    und startest dann auf deinem Rechner einen passenden VNC-Client
    z.B.:Chicken of the vnc

    Damit hast du den Desktop des Users bei dir auf dem Bildschirm, und kannst helfend eingreifen, oder auch beobachten. Du hast die Kontrolle über Maus und Tastatur, und hast den Bildschirm von ihm bei dir auf dem Display.
    Man nutzt sowas gerne z.B in Bildungseinrichtungen um den Schülern ein bischen über die Schulter schauen zu können, ohne in dem Pool die ganze Zeit rumrennen zu müssen.
    Sowas nutzt man auch für die Remote Administration von Rechnern...
    Der Apple Remote Desktop basiert auch auf dem vnc-Protokoll.
    Der Nachteil ist natürlich, wenn du ihn beobachten willst, dass du zu der Zeit wenn dein User am Rechner arbeitet, du natürlich auch an deinem Rechner sitzen musst.

    Was auch noch helfen könnte ist die Installation von "acct" das BSD-Accounting System was sämtliche Userinteraktionen wie Programmstarte und so mitprotokolliert. Was ich bis jetzt aber nur unter Linux getestet habe, und nicht weiss wie gut, und ob das überhaupt für Darwin verfügbar ist.
     
  15. macfux

    macfux New Member

    An dem Rechner arbeiten 3 Leute und den 2 Admins habe ich schon mehrmals neue Passwörter verpasst. Ich weiss echt nicht mehr was ich noch machen soll.
    Weiss jemand einen Keylogger der nicht im Dock auf sich aufmerksam macht?
     
  16. macfux

    macfux New Member

    Ich habs ;-)

    Es ging natürlich um den "missbräuchlichen" Gebrauch des Zugangs ins berühmte Netz.

    Der User hat zwar einen gesperrten Safari, aber trotzdem ist es pillepalle. Man braucht Safari nur von einem Programm anwerfen zu lassen. Praktisch jede Software mit updatefunktion hat noch einen Hilfebutton oder ein extra "Hilfe im Netz" Knöpfchen. Damit geht der Safari an obwohl der User nicht die Rechte dazu besitzt. Sauerei das !!! Jawoll!!!
    Ich kann doch nicht alle Programme durchchecken ob sie auch "Offline-Sicher" sind.
    Gruß
    macfux
     
  17. macfux

    macfux New Member

    Es reicht schon mit Word einen Hyperlink zu tippen und dann draufzuklicken. :-(
    Mail dito...
    @Calvin
    Danke für den Hinweis, aber ich werde Apple Remote Desktop anschaffen.
    Jetzt hab ich mal die "verdächtigen Programme" in die entsprechenden Userordner verfrachtet und seitdem ist Ruh.
    So richtig zufrieden bin ich damit aber nicht. Schliesslich sollte ja genau sowas vermieden werden. Userspezifische Programmumgebungen wollten wir eigentlich nicht, aber ich seh grad keine andere Möglichkeit.
    P.S.
    Das war mein Osterurlaub, -ein Schulnetzwerk umpfriemeln.
    Danke an alle
    Gruß
    macfux
     

Diese Seite empfehlen