724004

Profile: Restriktionen mit Restriktionen

Anforderung

Zeitaufwand

Welche Punkte sollten Sie beim Erstellen von Systemrichtlinien auf einem Einzelplatzrechner beachten?

Der entscheidende Nachteil beim Einsatz von Systemrichtlinien auf einem Einzelplatzsystem liegt darin, daß sich - anders als beim Netzwerk, alle Dateien, die für bestimmte Restriktionen verantwortlich sind, auf der lokalen Festplatte befinden. Abhängig davon, was und wieviel Sie einem einzelnen Benutzer erlauben wollen, sollten Sie stets bedenken, daß ein begabter Eindringling in vielen Fällen Mittel und Wege finden wird, die festgelegten Beschränkungen zu umgehen.So macht es beispielsweise wenig Sinn, Programme zum Bearbeiten der Registrierdatenbank zu verbieten, wenn Sie nicht gleichzeitig auch die MS-DOS-Eingabeaufforderung deaktivieren. Der betroffene Benutzer kann dann zwar weder per Doppelklick auf REGEDIT.EXE noch per "Start, Ausführen" den Registriereditor starten, aber solange er COMMAND.COM ausführen darf, stehen ihm alle Türen offen. Er startet Regedit einfach am DOS-Prompt. Danach erhält er zwar die Mitteilung, daß "das Bearbeiten der Registrierung durch den Administrator deaktiviert" wurde. Doch dieses Hindernis läßt sich in den Eigenschaften der DOS-Box beseitigen. Die einschlägige Option findet sich unter "Programm, Erweitert, Keine Windows-Erkennung durch MS-DOS-basierte Programme". Jetzt muß der findige Benutzer die Box nur noch schließen und erneut ausführen. Anschließend schert sich COMMAND.COM um keine Verbote mehr, und Regedit läßt sich ohne Probleme von der Kommandozeile starten.

Neben der Manipulation der Registrierdatenbank hat jeder Benutzer mit Zugriff auf COMMAND.COM weitere Möglichkeiten, sich eventueller Restriktionen zu entledigen. Da er sich frei auf der Festplatte bewegen kann, ist es für ihn ganz leicht, einschränkende Systemrichtlinien-Dateien zu kopieren oder zu löschen. Weiß er zum Beispiel, daß Benutzer A alles erlaubt ist, muß er nur die Datei USER.DAT im Verzeichnis/Windows/ Profiles/ A in sein eigenes Profile-Verzeichnis kopieren, und anschließend die Systemrichtlinien-Datei XYZ.POL umbenennen oder löschen. Der Name und der Ort der Policy-Datei ist zwar frei wählbar, sie muß aber die Namenserweiterung POL besitzen, was bei der Suche wiederum recht hilfreich ist.Genau die gleichen Möglichkeiten hat auch ein Benutzer, dem der Explorer uneingeschränkt zur Verfügung steht. Mit Hilfe von EXPLORER.EXE ist es sogar noch einfacher, sich durch das Dateisystem zu hangeln und alle störenden Dateien umzubenennen oder zu löschen. Selbst versteckte Dateien sind auf Anhieb sichtbar, und Dateiattribute lassen sich per Mausklick aufheben. Zudem läßt sich der Explorer nicht so einfach abstellen wie die MS-DOS-Eingabeaufforderung.

0 Kommentare zu diesem Artikel
724004