Zugriff auf HKLM?

[2-frozen]

Bin leider etwas ratlos ... hin und wieder schaffen es Dialer, Spy- und Adware sich im Schlüssel HKEY_LOCAL_MACHINE einzutragen. Aber wie?

OS: Windows NT 4.0 WKS SP6a ohne SRP mit Internet Explorer 5.5 SP2 (ohne weitere Patches)

Benutzer hat nur normale Benutzerrechte.

Da der IE ja mit den Userrechten ausgeführt wird und denen der Zugriff auf HKLM fehlt, wie kommt es dann, dass sich diese Programme dennoch dort einnisten können? Sind für HKLM nicht administrative Rechte erforderlich? Ich bin gegen ein dichtpatchen vom IE ... da uns das schon oft Probleme mit anderen Anwendungen bereitet hat, aber diese Lücke muss ich irgendwie dichtmachen.

Bitte keine Ratschläge wie alle Patches oder IE6 installieren, ich brauche konkrete Hinweise zu dieser Thematik.

Thx, 2-frozen

~~~posted with Mozilla/5.0 (X11; U; Linux i686; rv:1.7.3) Gecko/20041001 Firefox/0.10.1~~~

[2-frozen]

Hi,

leider bin ich bzgl NT 4 nicht wirklich fit, darum nur ein paar Anregungen:

Hast Du die Berechtigungen mal mit regedt32 überprüft? Irgendwo ganz dunkel im Hinterkopf: gab's da nicht mal mit NT4 defaultmäßig ein Problem?

Ist mir so nicht bekannt ... wenn du da einen Link zu hättest wäre das hilfreich. Auf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run z.B. haben nur Administratoren und das System selber den Vollzugriff.

Sehr schlechte Idee. Dir ist bewusst, dass durchaus einige Exploits mit Systemrechten arbeiten?

Das könnte den Zugriff auf HKLM erklären. Und wie filtere ich jetzt heraus, welche exploits das sind? Wie gesagt, ich kann die Maschinen nicht zupatchen sondern nur die nötigsten Patches einspielen. Das Zupatchen hat schon oft zu größeren Problemen geführt.

Gut. Ihr habt dennoch eher ein soziales Problem. Benutzer sollten so geschult werden, dass sie entsprechende Seiten gar nicht erst ansurfen.

Das geht schneller als man denkt, da hilft keine noch so gute Schulung. So etwas kann selbst erfahrenen Benutzern und Administratore passieren. Da vielleicht nicht ganz so schnell, aber immerhin. Und von einem sozialen Problem würde ich da schon gar nicht sprechen.

IMO wirst Du so das Problem nicht lösen können. Noch besser wäre sogar der Verzicht auf den IE. Ja, ich weiß schwer durchzusetzen *seufts*.

Jedes Problem ist lösbar ... brauche halt nur ein paar mehr Hinweise.

Gruß, 2-frozen

[hades]

Vielleicht hilft Dir der ct IEController, um den IE einzuschraenken.

http://www.heise.de/software/default.shtml?prg=15332&T=iecontroller&osg=1

[cujo]

Hi 2-frozen,

da Du ja nach anderen Lösungen als Patches und Updates suchst, hilft Dir evtl. dieses Dokument weiter (ist zwar mit Beispielen aus XP, aber die relevanten Schlüssel sollten die gleichen sein):

Registry schützen

Eine wichtige Einstellung:

Remote Access abstellen

Um nun den Zugriff auf die Registry von einem entfernten Rechner zu unterbinden, gehen Sie mit regedt32 auf den Ast: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg und vergeben Sie dann Zugriffsrechte mit dem Menü Sicherheit. Nur die von Ihnen angegebenen Accounts sind dann noch in der Lage über das Netzwerk auf Ihre Registry zuzugreifen. Achtung: Stellen Sie auch hier sicher, das Sie ein vollständiges Backup der Registry (einschliesslich SAM, etc.) vorliegen haben.

Hilft Dir das weiter?

Gruß, cujo

[cujo]

Etwas fällt mir da noch ein, wenn Du weder externe Applikationen oder Patches und Updates nutzen willst/kannst:

Microsoft IE - Whitelist erstellen

Da hast Du dann aber viel zu tun

Gruß, cujo