Shutdown.exe blokkeren

Een (ander) wachtwoord op je administrator account zetten ?
Want volgens mij hebben die remote shutdown tools een admin account op de target machine nodig.

Ik weet wel hoe je m 'wegdoet'

Typ in uitvoeren: shutdown -a

(Maargoed, heb je niet zo héél veel aan )

[ Voor 86% gewijzigd door SmiGueL op 24-05-2006 19:33 ]

SmiGueL schreef op woensdag 24 mei 2006 @ 19:30:
Ik weet wel hoe je m 'wegdoet'

Typ in uitvoeren: shutdown -a

(Maargoed, heb je niet zo héél veel aan )

Als de ander dan deed "shutdown -m \\computer -t 00" dan moet je wel heel erg snel zijn

Als eens gekeken in "Computerbeheer"?

Uit m'n hoofd: De file weggooien?

Volgens mij kan je bereiken met wat jij wil door de rpc service te stoppen. Hierdoor kunnen geen remote procudre calls meer gedaan worden. Andere mogelijkheid is om de benodigde Windows Updates uit te voeren waardoor shutdown alleen met de juiste rechten aangeroepen kan worden.

shutdown.exe hernoemen?

Policies? Of zit ik nu verkeerd te denken?

Even vanaf een NL talige Windows 2000 bak:

Systeembeheer
Lokaal beveiligingsbeleid
Lokaal beleid
Toewijzing van gebruikersrecht
Systeem afsluiten

Desgewenste groep (admins?) verwijderen uit deze policy ofzo?

Dersan schreef op woensdag 24 mei 2006 @ 19:25:
Ik heb zitten googlen maar ik kan maar geen manier vinden om shutdown.exe te blokkeren. De request komt van een netwerk af. Als ik google kom ik alleen uit op pagina's over virussen e.d.

Weet iemand hier een manier voor?

Firewall die file+printersharing en rpc dicht gooit van buiten gebruiken (dus geen exceptions buiten localhost).
Vervolgens je logging nakijken waar die request vandaan komt, reverse dns entry bij IP zoeken, hostname naar gebruiker deduceren en op die persoon afgaan en vragen wat het nut van die shutdown actie moet zijn.

BackSlash32 schreef op donderdag 08 juni 2006 @ 12:16:
[...]


Firewall die file+printersharing en rpc dicht gooit van buiten gebruiken (dus geen exceptions buiten localhost).
Vervolgens je logging nakijken waar die request vandaan komt, reverse dns entry bij IP zoeken, hostname naar gebruiker deduceren en op die persoon afgaan en vragen wat het nut van die shutdown actie moet zijn.

En 'm daarna op z'n bek ........?
Alle gegeven opties zijn wel mooi vind ik, maar dat gaat alleen als je zelf beheerder bent.
Wanneer je een gewoon useraccount hebt is het toch niet zo gemakkelijk te fixen.

[ Voor 2% gewijzigd door elTigro op 08-06-2006 12:21 . Reden: woordje vergeten ]

Met Group Policy en Software Restriction kom je ook een heel eind

BK1 schreef op donderdag 08 juni 2006 @ 12:21:
En 'm daarna op z'n bek ........?

Alleen als $persoon dat puur voor de lol doet

Alle gegeven opties zijn wel mooi vind ik, maar dat gaat alleen als je zelf beheerder bent.
Wanneer je een gewoon useraccount hebt is het toch niet zo gemakkelijk te fixen.

Eens, maar dat is aan ons slachtoffer om dat te verduidelijken.

Gewoon shutdown.exe hernoemen naar shutdown.ex_, of maakt windows ook gebruik van deze file als windows wordt afgesloten. Het is te proberen in ieder geval

Zo kom ik ook altijd van windows messenger af, gewoon de exe naar ex_ hernoemen

Luuk1983 schreef op donderdag 08 juni 2006 @ 12:51:
Gewoon shutdown.exe hernoemen naar shutdown.ex_, of maakt windows ook gebruik van deze file als windows wordt afgesloten. Het is te proberen in ieder geval

Zo kom ik ook altijd van windows messenger af, gewoon de exe naar ex_ hernoemen

en als je je pc nou wilt afsluiten wat dan

wat je ook kan doen is naar *.com hernoemen

with ^^
dan heb je shutdown.exe niet nodig hoor
En uberhaupt .exe's renamen naar .com staat niet hoog op mijn lijstje van slimme akties...
Je moet uberhaupt verhoogde rechten hebben om een pc remote te kunnen shutten.
Als het van een netwerk komt (welk?) zijn er in ieder geval twee dingen die je graag zou willen weten:
a) als je zelf admin bent, hoe een ander aan jouw admin password komt (of een ander account's password dat kan shutten) / of hoe het komt dat je te exploiten bent...
b) als je zelf een user bent hoe het toch komt dat je systeembeheerder zo'n hekel aan jou heeft

[ Voor 6% gewijzigd door elTigro op 08-06-2006 13:26 ]

JacquesdeBuys schreef op woensdag 07 juni 2006 @ 15:22:
Uit m'n hoofd: De file weggooien?

!

Anyway, tijd om je systeem wat veiliger te maken.. alle service packs + security patches aan? fw eventueel?

Volgens mij is het heel simpel als je XP sp2 draait. De windows firewall aanzetten en poortje 135 blokkeren op alle binnenkomend verkeer. Dan kunnen er geen remote commando's meer gegeven worden en hoef je geen .exe te renamen of zoiets. Elk ander (freeware) firewall pakketje voldoet ook trouwens

Het hernoemen van de lokale shutdown.exe heeft volgens mij niet zoveel zin als het een remote shutdown is.

Wie (of wat) voert deze actie bij je uit? Heb je niet gewoon een virus o.i.d?

BK1 schreef op donderdag 08 juni 2006 @ 13:25:
with ^^
dan heb je shutdown.exe niet nodig hoor
En uberhaupt .exe's renamen naar .com staat niet hoog op mijn lijstje van slimme akties...

Buiten dat, lekker nutteloos aangezien het een Protected System file is en SFC deze normaliter vrolijk weer terugzet uit \dllcache

Als het van een netwerk komt (welk?) zijn er in ieder geval twee dingen die je graag zou willen weten:
a) als je zelf admin bent, hoe een ander aan jouw admin password komt (of een ander account's password dat kan shutten) / of hoe het komt dat je te exploiten bent...
b) als je zelf een user bent hoe het toch komt dat je systeembeheerder zo'n hekel aan jou heeft

Daarom zei ik ook, gewoon lief vragen wat het nut is.
Als het gewoon voor de grap zou zijn dan nemen we andere maatregelen

[ Voor 14% gewijzigd door alt-92 op 08-06-2006 13:51 ]

BackSlash32 schreef op donderdag 08 juni 2006 @ 13:50:

Daarom zei ik ook, gewoon lief vragen wat het nut is.
Als het gewoon voor de grap zou zijn dan nemen we andere maatregelen

Zoals? Mag je dan eindelijk:

BK1 schreef op donderdag 08 juni 2006 @ 12:21:
En 'm daarna op z'n bek ........?

Je zou een soort van minifirewall-setup tussen je pc en de wall outlet kunnen zetten, en dan via een bridging firewall(heb ik ook onder linux draaien) alleen de shutdown rpc-call kunnen filteren. Maar dat is misschien wat overkill.

Ik bedoel, al met al weten we nog steeds niet wat Dersan's echte probleem is

op school hebben ze dit script ook ontdekt ( de kindjes toch ) .op mijn laptop
lukt het hen echter niet en ik denkt dat dit te maken heeft met norton 2005 .

ik veronderstell dat andere paketten dit ook kunnen .

Ligt aan de rechten idd.

Als je een user met adminrechten hebt op je PC naast die van jou, verweider die dan eens.

Zorg ervoor dat alleen jij op de pc kan.

Als je in een AD. zit kan dit niet, je zou dan wel "Net stop server" kunnen doen, dan zien "ze" je niet meer en kunnen ze ook niets meer doen... Let wel, als je mappen gedeeld hebt, zijn ze dat nu niet meer

In groepsbeleid moet je het ook kunnen invullen.

Nou iig, succes!

// @ h199, komt omdat de laptop niet een admin account naast de gebruikte account heeft? En zit hij in het domein gekoppeld?

[ Voor 15% gewijzigd door Big-R op 08-06-2006 17:35 ]

Uit je laatste bericht kan ik afleiden dat je student bent en geen admin? If so; kan je dan niet beter de admins inlichten over het feit dat het netwerk niet al te handig ingericht is?

Dan ben je (gebrek aan) beveiligingen aan het omzeilen, en dat vinden ze hier niet zo plezant.

Kortom, opties zat, maar niet jouw probleem.
En 50 minuten werk weg ? Dan had je maar vaker op moeten slaan.

Er is maar 1 echte mogelijkheid : de "Remote Procedure Call (RPC)" service stoppen en liefst disablen.

als je die stopt gaat je pc binnen 60 sec uit !

[ Voor 5% gewijzigd door Verwijderd op 09-06-2006 17:48 ]

Dersan schreef op vrijdag 09 juni 2006 @ 17:37:
[...]


Tis een middelbare school, met allemaal mensen met 0.0 verstand van computers.

Ik hoef dus weinig ideeen aan te dragen over policies, hoor ik alweer... Succes ermee in ieder geval; er zijn nog wel een aantal mogelijkheden om je te "pesten" zonder de genoemde EXE.

Verwijderd schreef op vrijdag 09 juni 2006 @ 17:48:
als je die stopt gaat je pc binnen 60 sec uit !

Tenzij je je recovery response anders definieert...

[ Voor 24% gewijzigd door MAX3400 op 09-06-2006 17:52 ]

Ok.
Nu is het leuk genoeg geweest.

Vervelend voor je dat je niet alles kan doen wat je wilt maar het omzeilen en "breken" van veiligheidsmaatregelen op school of bedrijven wordt hier op z'n zachts gezegd niet echt gewaardeerd.

Het lijkt me verstandiger als je in plaats van softwarematig gewoon lekker analoog één op één met die mensen gaat praten.

tc982 schreef op vrijdag 09 juni 2006 @ 17:44:
Er is maar 1 echte mogelijkheid : de "Remote Procedure Call (RPC)" service stoppen en liefst disablen.

Dit is de enige mogelijkheid volgens mij. shutdown.exe wordt alleen gebruikt om het afsluiten aan te roepen, niet om een verzoek tot afsluiten uit voeren.

Dersan schreef op donderdag 15 juni 2006 @ 15:35:
[...]


Of het leuk genoeg of niet is geweest is niet aan jou.

Veiligheidsmaatregelen? Breken? Volgens mij moet jij even gewoon goed het topic doorlezen. Het gaat erom dat ze gewoon niet zo je pc kunnen uitgooien wat ze regelmatig gewoon doen. Net zoals mensen die dan een opdracht op school over bijvoorbeeld games doen dat die mensen iets zien wat te maken heeft met een spel en meteen je pc uitgooien. En nee vooraf met die mensen gaan praten heeft geen zin ze hebben de allerlaagste groepen van deze maatschappij hiervoor ingezet.

Dan kaart je dat gewoon ff aan bij je docent. Wat is er nou zo moelijk aan om ff met iemand te babbelen.

Dersan schreef op donderdag 15 juni 2006 @ 15:35:
[...]


Of het leuk genoeg of niet is geweest is niet aan jou.

Veiligheidsmaatregelen? Breken? Volgens mij moet jij even gewoon goed het topic doorlezen.

En jij moet je even aan de schoolregels houden

Het gaat erom dat ze gewoon niet zo je pc kunnen uitgooien wat ze regelmatig gewoon doen.En nee vooraf met die mensen gaan praten heeft geen zin ze hebben de allerlaagste groepen van deze maatschappij hiervoor ingezet.

Dan kaart je dat aan bij je mentor/studiebegeleider/whateverfunctie, maar door koppig de boel proberen te forceren breng je jezelf alleen maar verder in problemen.

Let er ook op dat ik 'breken' tussen aanhalingstekens heb gezet.
Het gaat niet om jou, maar om de werking van de regels die ingesteld zijn op jouw school.
Als de handhaving daarvan niet volgens jouw idee verloopt: tough, maar de boel saboteren (want daar komt het op neer in jouw geval) is helemaal vragen om commentaar van hier en gezeik van je school.

Dus - hiermee klaar.

Mag niet - als je niet kan leven met de regels op je school stel ik voor dat je gaat klagen bij je mentor, decaan, directeur, in de leerlingenraad gaat, opruiende stukjes in de schoolkrant schrijft of een groots georganiseerde handtekeningen actie uitvoert.

Mogelijkheden zat, maar die hebben allemaal weinig met Windows Clients te maken