Schüler installiert mit .bat nach Belieben

Schüler installiert mit .bat nach Belieben

Hi Forum,

ich habe ein Problem - das mich auf der einen Seite freut aber auf der anderen etwas nachdenklich stimmt.

Ich bin Info-Kustos bei uns an der Schule und habe auch das Netzwerk über - habe keine Ausbildung gemacht und bin ziemlich nooblike auf dem Gebiet. Soviel zum Vorwissen.

Problem: Ich habe einen hochbegabten Schüler mit Vorliebe zu PC/Netzwerk/Hacking Wir haben natürlich alle Rechte, dass die Schüler installieren können gesperrt. Jetzt kommt dieser Junge und schreibt sich eine .bat Datei, mit deren Hilfe er alles auf dem PC vom USB Stick aus installieren kann.

Catch me if you can - wie kann ich ihm das abdrehen? Bin schon fündig geworden Mit AppLocker Programme sperren – SID-500.COM weiß aber nicht, ob und wie ich da am besten vorgehen soll.

Wäre echt über Vorschläge und Hilfe dankbar, bis jetzt war's ja nur Firefox, den er installiert hat.

Schönes Tagerl!

AW: Schüler installiert mit .bat nach Belieben

USB-Ports deaktivieren? Keine Speichermedien zulassen?

AW: Schüler installiert mit .bat nach Belieben

taks schrieb:

USB-Ports deaktivieren? Keine Speichermedien zulassen?

Zum Vergrößern anklicken....

Jup, schnellste Lösung ins BIOS, dort USB/SD-Card deaktivieren und ein BIOS Passwort setzen! Steh grad auffer Leitung evtl fällt mir was beim ersten Kaffee ein

AW: Schüler installiert mit .bat nach Belieben

ja mit deaktivierten USB Port kenn ich das auch aus meiner Schule und PW für´s Bios

AW: Schüler installiert mit .bat nach Belieben

Schau mal bei den beiden Links, ob das weiterhilft.

Batch Dateien deren Ausfuehrung unterbinden - Windows Forum — Allgemein - MCSEboard.de

Ausfuehren von .bat verhindern - Windows Server Forum - MCSEboard.de

AW: Schüler installiert mit .bat nach Belieben

Die Frage ist wohl eher: Selbst wenn er per Batch ein Cmd-Prompt offen bekommt, warum darf er Programme installieren? Als normaler Benutzer darf man das nicht.
Ist da vielleicht der normale Admin nicht mit einem Passwort versehen?
Es ist halt keine geistige Höchstleistung über eine Batchdatei ein elevated Prompt zu öffnen oder direkt ein Batch als Admin laufen zu lassen wenn der Admin kein Passwort hat.
Ein cmd prompt öffnen zu dürfen ist ja nicht das Problem, sondern das er dies offensichtlich mit Admin Rechten darf.

Mit solchen Scherzen hab ich schon in den 90ern meine Informatiklehrer zum verzweifeln gebracht, das war ein irrsinninger Spaß.

Alles andere grenzt ja schon daran sich über eine Sicherheitslücke erweiterte Rechte zu verschaffen. Daran glaube ich bei einem Schüler aber gerade irgendwie noch nicht...

AW: Schüler installiert mit .bat nach Belieben

Der Admin lokal ist mit einem PW versehen und auch natürlich im Netztwerk.

Zur Struktur: jeder Schüler hat einen eigenen user im Netzwerk, mit eingeschränkten Rechten.

Was ich rausgehört habe, installiert er die Programme irgendwie in seinem lokalen Verzeichnis.

AW: Schüler installiert mit .bat nach Belieben

Ist das sicher dass es auch wirklich eine Installation ist? Also so richtig mit Programmeintrag in der Systemsteuerung?
Vielleicht hat er auch einfach eine Portable Firefox variante vom Stick auf die Festplatte in seinen Benutzerorder kopiert und siehe da, er hat einen funktionierenden Browser.

Tut mir leid wenn ich das so in Frage stelle, aber ich tue mich gerade schwer mit der Vorstellung das ein Schüler hier Scripte aufruft die in Sicherheitslücken schlagen, nach meiner Vorstellung muss das etwas grandios simples sein was er ausnutzt.

Bisher habe ich nichts darüber gelesen das er Dinge tut die wirklich erhöhte Rechte erlangt, gegenüber simplen Benutzerrechten im Vergleich.
Solange der Beweis nicht erbracht ist muss mand davon ausgehen das er irgendwelche "billigen Tricks" im Rahmen seiner Benutzerrechte macht.

AW: Schüler installiert mit .bat nach Belieben

Was vielleicht auch hilfreich ist: es funktioniert auch für die Schüler den Chrome Installer runter zu laden und dann Chrome zu installieren.

AW: Schüler installiert mit .bat nach Belieben

soulflyer860 schrieb:

Was vielleicht auch hilfreich ist: es funktioniert auch für die Schüler den Chrome Installer runter zu laden und dann Chrome zu installieren.

Zum Vergrößern anklicken....

Für alle Schüler?
Das kann nicht sein.
Das muss was an den Benutzerrechten nicht stimmen.

AW: Schüler installiert mit .bat nach Belieben

Also, er war jetzt kurz da. Hab mir die Blöße gegeben und ein bisschen gefragt xD die Datei befähigt ihr nur zum Schreiben in einen Ordner, in dem er Schreibrechte hat. Das Programm wird dann nicht in Program Files gespeichert...pah sowas macht mich irre.

AW: Schüler installiert mit .bat nach Belieben

Das entspricht ja ziemlich nahe dem was ich bereits vermutet habe.
Für mich klingt das immer noch so als würde lediglich portable software von einem usb stick auf den PC kopieren und dort ausführen.
Alles Dinge die ein Benutzer tun darf.

Nun könnte man natürlich über die Gruppenrichtlinien USB Speicher verweigern. Dann kommt er nicht mehr an den USB Stick dran.
Aber dann kommt eben niemand mehr an USB Sticks ran.
Für eine Schule evtl. nicht die goldene Lösung.

Andere Variante: Den Schülern zuerst mal alles erlauben, aber dafür sorgen dass das System nach jedem Neustart "neu" ist.
z.B. mit Pxe-Boot Systemen.
Oder als "halbe" Lösung Virtualisierte Windows, die jede Nacht zurückgesetzt werden. Das ist aber Wartungsintensiv mit Sicherheitsupdates.
Es gibt bestimmt auch andere Möglichkeiten, mir fällt nur gerade auch nix besseres ein.
Unter Systemen die extrem einschränken lernen Schüler nichts über das System. Zumindest meine Meinung.
Wenn sich das System immer wieder von selbst erneuert, dann kann man ganz simpel mit "mir doch egal" da rangehen.
Der Schüler installiert einen Virus? Neuboot. Fertig.

AW: Schüler installiert mit .bat nach Belieben

Ja danke, das klingt auch nach dem, was ich sowieso gerne machen würde, weil dann sind etwaige Spielereien, wie Symbole verschieben etc. auch egal. Ich werde einfach mal den vorherigen Admin kontaktieren und ihn fragen, was er so denkt
Danke fürs Helfen

AW: Schüler installiert mit .bat nach Belieben

Gerne.
Berichte mal was ihr so entscheidet bezüglich dieses Themas.

Ich hatte bisher immer den Eindruck das die Schulen leider ein wenig hinterherhinken was Sicherheit und Machbarkeit angeht,
aber ich gebe gerne zu dass das mein übriggebliebener Eindruck noch aus der Zeit ist als ich von der Schule abging. (Ende 90er Jahre.)

(Und sorgt mal dafür das die jungen Leute auch auf der Tastatur ordentlich schreiben können, also blind tippen usw. Meine Mutter hat mich mit 12 schon dazu "gezwungen", heute bin ich ihr sehr dankbar dafür. )

AW: Schüler installiert mit .bat nach Belieben

Da gebe ich dir natürlich Recht. Heute sind noch dazu die Anforderungen an den Standort viel höher als damals - siehe Digitale Bildung, WLAN, Tablets, etc... Da kommt man als Administrator sehr schwierig nach, vor allem wenn man keine wirklich Ausbildung hat.

Gerne halte ich euch am Laufenden.

LG

AW: Schüler installiert mit .bat nach Belieben

es gibt doch wächter karten. die sorgen das beim neustart es dann so aussieht wie zuvor definiert.
hab gerade nachgegoogelt und sehe die hardware wächter karten werden nicht mehr hergestellt. lel. da war ja unsere schule ein sonderfall.
eine paralellklasse hat den pc aufgeschraubt und die wächterkarte herausgerissen. möcht mal wissen was sie mit dieser angestellt haben.

AW: Schüler installiert mit .bat nach Belieben

Bei mir in der Ausbildung wurden die Rechner auch nach jedem restart auf einen zuvor definierten Stand gebracht, hatte den Vorteil daß wir jegliche Programme nutzen konnten und natürlich die selbst geschriebene Programme testen/nutzen konnten, aber wehe dir ist der Rechner abgekackt und du hast nicht auf deine externe/den Stick gespeichert

Wenn ich mich Recht erinnere waren das Fujitsu's mit i5 First Gen und 4gb RAM


Cs1.6 im LAN war auch immer ganz witzig


Nuja, ich würd's auch über eine Wächterkarte bzw. Software Nachfolger realisieren, sollte meine ich auch über die Benutzerverwaltung funktionieren, sofern die Benutzer immer aus dem Netzwerk geladen werden und nicht lokal abliegen, so realisiere ich zumindest immer, dass jeder Benutzer an jedem Arbeitplatz mit seinem eigenen Desktop arbeiten kann, ob es hier einen Default gibt weiß ich ad hoc leider nicht

AW: Schüler installiert mit .bat nach Belieben

Naja; auf der letzten Schule die ich besucht habe; soweit ich das noch in Erinnerung habe starteten die PCs (damals noch Ubuntu 06/07/08 .4 und wahlweise XP-pro 32) falls wir es fertig gebracht hätten mit neu eingespieltem Image das alle Furz-lang aktualisiert wurde; wenn wir es lokal auf den HostPCs zerschossen hatten ...
Hatten damals ein paar Rechte über Gast/ User Rechten in Windoes.
Jedenfalls waren wir kein root, allerdings in der Gruppe sudoers und konnten (fast alles) anstellen; sporadisch wurde uns nur das Internet über den Proxy gesperrt; bzw. dann später hat es der Admin fertiggebracht unsere LAN-Kommunikation in Quake oder CS1.6 wenn er es wollte; bzw. nur unsere Aufmerksamkeit wollte zu unterbinden.
War das ne geniale Zeit... jana, die Schule war nur ein Steinwurf von Walldorf entfernt... Ich glaube da wo die Branche steht, sind auch die besten Lehrer.