Warnung ausgeben falls VNC-Dienst startet.

[Martex]

Guten Morgen,

hab ein Problem: wir haben hier so eine Software namens ideal admin, mit der kann man sich auf PC's schalten per VNC, falls der dienst nicht installiert ist, macht die software das, falls er nicht aktiv ist, wird er gestartet.

Ich möchte nun, dass, wenn sich jemand (z.B. ohne meine Erlaubnis) auf meinen Rechner schaltet, also den dienst aktiviert, eine Meldung erscheint, z.B. ein popup, oder so, damit ich das merke. Wäre auch mal für andere Dienste interessant.

Hat jemand eine Idee?

[Lord_of_Flames]

Hallo

vielleicht kann dir samurize dabei helfen soweit ich weis kann man damit auch Dienste überwachen

www.samurize.org

[hades]

Nutze den VNC Service Helper, damit ist das VNC Icon im Tray und zeigt Dir graphisch an, wenn ein Client (Browser oder VNC Client) sich auf Deinen Rechner schaltet.

Kannst Dir auch mit folgenden Ansaetzen eine Abfrage selber schreiben:

- net start: Ausgabe der gestarteten Dienste

- > Dateiumleitung

- | Umleitung der Ausgabe auf die Eingabe

- find: Suche

- echo: Ausgabe

- at: Zeitplaner

- net send: Nachrichten

[Martex]

Nutze den VNC Service Helper, damit ist das VNC Icon im Tray und zeigt Dir graphisch an, wenn ein Client (Browser oder VNC Client) sich auf Deinen Rechner schaltet.

Funktioniert nicht so toll:

Hab den Servicehelper installiert (realvnc).

klappt prima, kann sogar eingehende connections blocken.

ABER: Er hat jetzt zwei dienste, einmal den VNC Server und den VNC Server Version 4. Solang er sich mit dem Server Version 4 verbindet (macht er standartmäßig), ist alles ok. Der "Angreifer" kann allerdings per computerverwaltung den version 4 dienst stoppen, den anderen starten und sich dann mit dem alten vnc diesnt verbinden. Und voilá: drauf isser.

er kann sogar den dienst per ideal-software zurücksetzen bzw. komplett neu installieren.

So ein Mist. Noch irgendwelche anderen Tips?

[Terran Marine]

Kannst Dir auch mit folgenden Ansaetzen eine Abfrage selber schreiben:

- net start: Ausgabe der gestarteten Dienste

- > Dateiumleitung

- | Umleitung der Ausgabe auf die Eingabe

- find: Suche

- echo: Ausgabe

- at: Zeitplaner

- net send: Nachrichten

Ich würde auch bei so einer Lösung bleiben, ist schnell geschrieben und läuft sicher und ohnen großen Ressourcenverbrauch, anbei ein Einzeiler um den Start des Dienstes "Telefonie" zu testen :

net start | find "Telefonie" && net send username Telefonie-Dienst läuft!

Dieses per at-Skript einmal die Minute ausführen und die wirst immer rechtzeitig gewarnt.

Gruß

Terran

[Martex]

ok, hab das jetz folgendermaßen gemacht:

>net start | find "VNC Server" && net send meinPC VNC Dienst wurde gestartet. Runter hier, du feister Wanst!!

ok. Klappt soweit. Problem: ich hab zwei VNC dienste eingetragen, einmal der VNC SERVER, der nicht laufen soll, und der VNC SERVER 4, der gut ist, und mit dem der vnc viewer eindringling sich standardmäßig verbindet.

Der zweite soll deshalb immer laufen. -find- sucht ja bekanntlich nur nach zeichenfolgen, also zeigt er mir das net send, weil ja der vnc server 4 läuft, der immer laufen soll.

er soll mir aber nur sagen, wenn einer den vnc server per computerverwaltung startet und der dann läuft. der andere ist egal.

-> schwäche von find. was mach ich da?

[hades]

Horchen beide VNC-Dienste auf demselben Port, d.h. muss der VNC Server 4 heruntergefahren werden um sich mit dem VNC Server zu verbinden?

net start | find "VNC Server 4"

if errorlevel 1 echo VNC Server 4 ist beendet.

Eine andere Moeglichkeit ist die Benutzung von Zeilennummern in find und anschliessender Auswertung der Zeilennummer (Find /n).

[Martex]

Eine andere Moeglichkeit ist die Benutzung von Zeilennummern in find und anschliessender Auswertung der Zeilennummer (Find /n).

Das setzt voraus, dass ich keine anderen Dienste zusätzlich installiere, oder irgendwelche anderen deaktiviere. also muss ich nach jedem installierten Programm erstmal prüfen, ob der nicht zufällig nen dienst installiert hat, und dementsprechend das script ändern. Bisschen umständlich...

Hab jetzt mal testweise beide Dienste gestartet. Er verbindet sich immer mit dem server 4. Dann poppt ja das bekannte tolle Fenster auf, das mir mitteilt, dass PC XY sich versucht, mit mir zu verbinden, mit der Möglichkeit zu akzeptieren oder abzulehnen.

Wenn ich die Ideal Software auf meinem Angriffspc beende, stoppt er den Dienst "VNC Server". Bisschen verwirrend.

Was mich auch noch stört, ist, dass er, sobald er sich verbindet, auf meinem PC drauf ist. mithilfe des scripts, sollte es denn mal laufen, merke ich zwar, dass der vnc server unerlaubt gestartet wurde, und er merkt es auch, wegen dem net send- fenster, schön wäre es jedoch, wenn er es erst gar nicht dürfte. -> Er sieht dann ja, was ich mache, was er aber nicht soll.

8|

[hades]

Um hier keine Diskussion ueber Sinn und Zweck von Fernsteuerungssoftware loszutreten:

Lese im Bundesdatenschutzgesetz (BDSG), beim Bundesamt fuer Sicherheit in der Informationstechnik (BSI) und in Deinen Betriebsvereinbarungen/Arbeitsvertrag nach und wende Dich bei weiteren Fragen an Deinen Chef/Betriebsrat.

Firmenweite Software- und -Einstellungen kann nur Dein Chef bzw. Admin aendern (lassen).

~~~closed~~~