"Ausführen" im Startmenü unter WinXP deaktivierbar?

#0
13.04.2004, 01:00
Member

Beiträge: 44
#1 Hallo,

ich war etwas nachlässig als angemeldeter Administrator online, und mir wurde über die "Ausführen"-Programmkonsole unter Windows XP meine McAfee Firewall beendet.
Die svchost kommunizierte mit einem Computer in der Ukraine.
Ich beendete die Verbindung sofort.
Über "Ausführen" hat der Angreifer auf verschiedene DLLs von McAfee zugegriffen, auf welche genau weiss ich nicht mehr, da mein Computer mir erst nach einem Neustart über die Eingabeaufforderung [cmd.exe] die Deinstallation von McAfee Internet Security 6 erlaubte.
Da waren die Einträge gelöscht.

Über den Explorer liess sich kein Programm ausführen.
Nach der Deinstallation läuft alles normal.

Abgesehen davon, dass man nicht als Administrator ins Netz gehen sollte, gibt es eine Möglichkeit die "Ausführen"-konsole komplett zu sperren?

Man kann sie aus dem Startmenü rausschmeißen, aber das verhindert ja nicht den Zugriff, sondern macht sie nur unsichtbar.

Was kann ich zusätzlich machen, um mich besser zu schützen?
Hardware Firewall? Alternatives Betriebssystem?


Gruß, MalCitoyen
Seitenanfang Seitenende
13.04.2004, 20:05
Member

Beiträge: 626
#2 Du kannst den Befehl "Ausführen" im Startmenü deaktivieren. Die Tastenkombination "Windowstaste + R" ist ebenfalls deaktiviert. Dafür musst du in der registry etwas abändern.
Start/Ausführen, "regedit" eingeben "OK"
Suche folgenden Schlüssel:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
Doppelklicke auf "NoRun"
Falls dieser Eintrag noch nicht vorhanden ist, dann must ihn erstellen. Dazu klicke mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählst du "Neu" > "DWORD-Wert". Gib da "NoRun" ein.
Den Wert von 0 auf 1 setzen.
Jetzt ist die Funktion deaktiviert. ABER: du selber kannst aber auch nun nicht mehr diese benutzen!!! Also merke dir diese Datei für die Registry: C:\windows\regedit.exe oder aber C:\winnt\regedit32.exe, damit du das auch wieder aktivieren kannst.

Desweiteren solltest du auf alle Fälle "WindowsUpdate" durchführen,damit die bekannten Sicherheitslücken geschlossen werden können.
__________
Meine Internetpräsenz
Dieser Beitrag wurde am 13.04.2004 um 20:08 Uhr von Kerst-Ammern editiert.
Seitenanfang Seitenende
14.04.2004, 13:10
Member

Themenstarter

Beiträge: 44
#3 Danke vielmals!

Da hast du vollkommen recht, mit Veröffentlichung der neuesten Patches - so wie vorgestern - kursieren die dazugehörigen Exploits am heftigsten.
Ich update manuell und war da nicht auf dem aktuellen Stand.

Wie wenig eine Personal Firewall schützt, den Thread gab's hier schon des Öfteren. Im Selbstschutz versagen die auf ganzer Linie, die Prozesse lassen sich ohne Mucken killen und aus den Speicher schmeißen.

Ich verstehe nicht, wieso die nicht wie manche Viren arbeiten, mit mehreren Prozessen, die sich gegenseitig selber aufrufen und neustarten, bei dem Versuch einen zu beenden.

Gruß, MalCitoyen
Dieser Beitrag wurde am 14.04.2004 um 14:14 Uhr von MalCitoyen editiert.
Seitenanfang Seitenende
14.04.2004, 18:31
Member

Beiträge: 686
#4 Habe den Vorschlag von Kerst-Ammern mal nachvollzogen (Win2000). Stimmt soweit, aber du kannst doch cmd.exe (und command.com!) immer noch über Arbeitsplatz ... winnt\system32 ausführen.
Wäre es nicht viel einfacher, die beiden Dateien zu löschen oder umzubenennen?
Damit verhindert man dann auch das Erstellen einer cmd-shell mit einem anderen Programm (eine beliebte Übung, wenn man programmieren lernt).

Gruß Reinhart
Seitenanfang Seitenende
14.04.2004, 19:56
Member

Beiträge: 626
#5 Hi,sicher kannst du die 2 Dateien ändern in .txt oder ähnlich. Nur wird Windows das nicht gutheißen und verlangt die Windows CD!
Das kannst du zwar ignorieren,aber wenn diese 2 Dateien nicht mehr existieren (da umbenannt oder gelöscht), weißt du ob dein System danach noch richtig arbeitet?
Ich schlage vor: du bist jetzt mal die Testperson und bennenst diese 2 um. Mal sehen was das bewirkt und ob Windows ohne Probleme weiterhin funktioniert.
Aufjedemfall sollte es dann nicht mehr möglich sein irgendetwas auszuführen.
Kannst dich ja melden wenn alles bestens weiterarbeitet, aber manche Dinge benötigen nunmal diese Dateien...
__________
Meine Internetpräsenz
Seitenanfang Seitenende
14.04.2004, 22:37
Member

Beiträge: 686
#6 Ja nun, das Versuchskaninchen gibt einen vorläufigen Bericht ab:

Vorbemerkung: Ich rede hier über WIN2000.

Zunächst kannst du cmd nur ganz kurzfristig löschen, Windows holt sich das innerhalb von Sekunden wieder. Du musst schon gemein sein und die Datei zusätzlich aus \system23\dllcache UND aus winnt\servicepakfiles\i386 entfernen, und zwar in der Reihenfolge ...i386, dann dllcache und dann erst system32.

Das lässt sich Bill Gates aber nicht gerne gefallen, er motzt und mault rum. Wir lassen ihn aber schimpfen und starten neu. Und siehe da: Windows fährt schön hoch, cmd ist weg und man kann prima arbeiten, nur halt ohne DOS-shell. Auch Systemprogramme in der Systemsteuerung und auch Regedit starten problemlos. Aber alle diese kleinen Netzhelfer, die nur über die Eingabeaufforderung gehen, die schauen in die Röhre (ping, netstat, ipconfig und so).

Der Haken sitzt bei allen 16 Bit Progs, die streiken nämlich jetzt allesamt. Wenn ich das richtig verstehe, braucht WIN das cmd.exe aus Kompatibilitätsgründen für die alten Sachen.

Also kann man ohne cmd arbeiten? jein.

Also ich kannte den Trick von damals 1996, als wir ein Novellnetz mit Win95-Clients hatten und uns ständig geärgert haben, dass die Typen an den Clients mit der DOS-Box an dem Server geknabbert haben. Da wars ganz einfach, du brauchtest bloß command.com zu löschen und schon war der ganze Spaß vorbei.

Reinhart
Seitenanfang Seitenende
15.04.2004, 20:54
Member

Beiträge: 626
#7 Hi und Danke für den tollen Job, nun weiß MalCitoyen das es geht und auch wie!
Ich nehme mal an das es unter XP das selbe Ergebmiss erzielen wird, da ja fast identisch.
Ich würde nur vorschlagen, die dateien nicht zu löschen oder wenigstens eine Kopie davon zumachen. Am besten wäre es es einfach umzubennnen, scheint das günstigere zu sein.
Wer weiß ob beim nächten WindowsUpdate bzw. ServicePack die nicht wieder da sind oder aber es Probleme gibt, da einiges über die DOS-Box aktualisiert wird.
__________
Meine Internetpräsenz
Seitenanfang Seitenende
15.04.2004, 22:07
Member

Beiträge: 686
#8 Es gibt noch eine Möglichkeit: Über die Gruppenrichtlinien. Mit nem Server kannst du jedem User auf jedem Client alles Mögliche, u.a. das Starten von cmd verbieten.

Gruppenrichtlinien sind auch für einen Einzelcompi definierbar, sie sind so was wie erweiterte lokale Sicherheitseinstellungen. CMD kannste auch hier blocken. Das macht normalerweise auf einem Einzelplatzsystem keinen Sinn, denn die Gr. gelten für alle Computerbenutzer, also auch für den Admin. Und wer kastriert sich schon gerne selber...

R.
Seitenanfang Seitenende
16.04.2004, 18:25
Member

Themenstarter

Beiträge: 44
#9 Danke euch beiden für die angestellten Forschungen.

Ich habe es jetzt so gemacht, dass ich die cmd.exe und command.com an beiden Orten mit dem in McAfee IC6 integrierten Privacy Service schützen lasse. Jedes mal wenn auf sie zugriffen wird, erscheint eine Dialogbox, die den Zugriff bestätigen läßt.

Gruß, MalCitoyen
Dieser Beitrag wurde am 16.04.2004 um 18:26 Uhr von MalCitoyen editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: