xDSL.at

[michaelw]

Ich bin gerade dabei mir ein Batch Script zur automatischen Steuerung von diversen Aufgaben zu schreiben.

Leider komme ich dabei nicht ganz ohne den Einsatz von kleinen Tools aus dem Internet aus die auf der DOS Kommandozeile von Win XP laufen. Bei den Quellen dieser Tools lässt sich aber nicht sicher sagen, ob die Tools wirklich sicher sind und man ihnen das tägl. unbeaufsichtigte Laufen auf wichtigen PCs zutrauen kann.

Daher möchte ich die Tools möglichst abgeschottet mit möglichst wenig Rechten ausführen.
Wie kann ich das nun am besten bewerkstelligen?

Soll ich z.B. in Windows einen eigenen Benutzer mit möglichst wenig Rechten erschaffen unter dessen Kennung ich dann mittels "runas" Befehl die Tools ausführe?

[lordpeng]

ja, entziehe den standard-benutzern die ausführungsrechte der entsprechenden programme und machs mit runas, allerdings hast dann das problem, dass das kennwort an runas übergeben werden muss, das kennwort kannst zwar zwischenspeichern, aber das ist vermutlich nicht was du willst, du musst dir also überlegen wann bzw. wie du deine programme aufrufst (bsp. in einem logon bzw. logoff script)

[zigan]

was sollen diese "tools" denn alles können,
normalerweise kannst mit dem windows resource kit tools fast alles abdecken

[lordpeng]

wobei die tools ausm resource kit auch ned unbedingt für jeden user auf dem lokalen rechner zugänglich sein sollten - ich hab den beitrag so aufgefasst, dass er seine tools schon hat (welche auch immer) und da lediglich die ausführung beschränken will, was ja generell nicht verkehrt ist

[michaelw]

Ein Log Tool und ein Wake on LAN Tool.

[penguinforce]

das sind doch daemons (services), die sollten im hintergrund sowieso rennen, auch wenn keiner eingeloggt ist...

und daemons stoppen und starten kann man eh erst mit einem user mit der entsprechenden rolle lt. rbac

[lordpeng]

also ich bin da ned so sicher, ob es sich um dienste handelt ein tool um WOL packerl zu verschicken als dienst macht ned zwangsläufig sinn - und die beschreibung 'log-tool' kann auch auf alles mögliche zutreffen ...

wenn die teile allerdings sowieso automatisch und zu einer fixen zeit ausgeführt werden sollen, isses wohl das einfachste dafür einen user und einen entsprechenden task anzulegen, alternativ gäbs noch das tool runasservices (aber nicht kostenlos) - allerdings ist das glaub ich ned, was der OP sucht ...

[michaelw]

Ich suche einfach nach der besten Möglichkeit um die beiden kleinen Tool .exe Dateien bei der Ausführung möglichst abzuschotten, falls sie doch irgendwelchen verstecken Spionage- oder Schadcode enthalten.

[penguinforce]

du willst eine ehrliche antwort? -> die software nicht einsetzen - wenn möglich auf opensource-derivate der programme ausweichen, ansonst verzicht üben.

[lordpeng]

applikationsvirtualisierung heisst das zauberwort - gibt hier verschiedene programme, die dir das machen, von sandboxie bis hin zu thinstall

[michaelw]

Tja sandboxie stammt selber widerum von einer mir unbekannten Quelle und thinstall kostet günstige 7000 EUR. LOL

[lordpeng]

was sagt uns das? du stehst vor einem henne-ei problem entweder viel geld für eine lösung ausgeben oder einer unbekannten software vertrauen - opensource wäre natürlich eine alternative, allerdings kann dir auch keiner für die sicherheit des programms garantieren, abgesehen davon müsstest du es ja um sicher zu gehen auch noch selbst kompilieren - weil ich kann gleich mal behaupten, dass sepp.exe aus sepp.cpp kompiliert wurde ...

[wicked_one]

Das Problem ist irgendwie das eine .exe nunmal eine .exe ist, irgendwie sehe auch in Beschränkung der Nutzerrechte nicht viel erfolg darin, wenn sich der Schadcode in der .exe versteckt... ich versteh ja nicht viel von Programmieren, aber das ich eine .exe so beschneiden kann das sie nur teilweise ausführbar ist, wäre mir neu

Da bleibt wohl nur RE und den Quellcode auf Schadsoftware untersuchen?

[michaelw]

Assembler Code analysiern kann ich aber nicht und will ich mir auch nicht antun.
Für das Wake on LAN Tool hab ich mir im sourceforge.net ein kleines Tool mit C Quellcode gesucht und selber kompiliert.

Falls sich für das Log Tool hier keine gute Lösung auftut werde ich mit dem nun aufgefrischten Wissen über Komadozeilen Programme in C schreiben auch das selber machen probieren...

[jutta]

> entweder viel geld für eine lösung ausgeben oder einer unbekannten software vertrauen

imo gibt es schon noch ein paar moeglichkeiten, die gefahr einzugrenzen:

-) kontakt mit dem programmierer oder mit dem anbieter des tools aufnehmen.
-) den namen des tools in die lieblingssuchmaschine werfen (auch in mehrere). wenn es bei anderen probleme verursacht hat, findet man das sicher bald raus.
-) den namen des programmierers in die lieblingssuchmaschine werfen
-) auf einen vom lan getrennten testrechner installieren, dort eine zeitlang laufen lassen und beobachten. dabei wireshark oder aehnliches mitlaufen lassen.