[HaBo]

JasonDinAlt

Anzeige

Hi together@all und einen schönen guten Abend

bin neu hier im Forum und hab auch vorher entsprechend den rules gesucht . :]

Trotzdem keinen Rat gefunden

Ich beschäftige mich beruflich mit der IT-Sicherheit eines Netzwerkes an das ca. 800 Clients angeschlossen sind.
So und jetz mein Prob, hab darüber schon endlose Diskussionen mit meinem IT-Betrieb geführt:

Wir haben im Netzwerk Disk- und CD -Laufwerke abgehängt. Es gibt aber nach wie vor die Möglichkeit über den USB-Anschluss mit einem Stick auch einen Client, gefüttert mit den richtigen Programmen, so zu starten, dass mit Admin -Rechten unter Win2K trotzdem Programme ausgeführt werden können. In einer der letzten C'T standen ein paar Kombinationen, womit ich so etwas durchaus für machbar hielte.
Ich kenn das mit der Rechteverwaltung und über BIOS-Password, USB deaktivieren usw., aber das Netzwerk soll ja arbeiten und die USER müssen damit arbeiten und alles was 1 Password überschreitet ist zuviel für deren Merkfähigkeit .

Es ist daher durchaus möglich, dass jemand d. einen keylogger oder Spionagesoftware wie z.B. Spector oder Desktop-Spy installiert und sich dann Infos aus einem Einzel-APC rauszieht, die er nicht darf. Das habe ich zu verhindern.

Meine Idee daher (und jetz haut mich wenn ich da einfach nur noch doof bin oder mich gedanklich verrannt hab ):

Gibt es eine Möglichkeit, dass sich nur wirklich Befugte (=z.B.Admins oder IT-SiBe) z..B. mittels eines Progs auf einem USB -Stick dafür identifizieren, dass nur sie auch berechtigt sind neue Programme Dll's u.ä. auch auf einem Client zu installieren? Jeder andere, der das versucht kriegt 'ne Fehlermeldung oder darf das einfach nicht?

Wäre fürchterlich dankbar für a bisserl Brainstorming

Ich weiß selbst, dass man nicht alles 100% absichern kann und man immer Kompromisse zwischen Funktionalität und Sicherheit eingehen muss, aber wie gesagt hab ich da jetzt eine Schnapsidee, oder gibt?s in die Richtung was??

Golgotha

jason schribbelte:

Der einzige Schutz in 'ner Windows - Umgebung gegen den USB - Stick
ist ----

Deaktiviere USB im Bios des Motherboards!!
Lass' keinen Flashspeicher in Deinem Netzwerk zu!

Achte auch darauf, dass von eventuell im DiskLaufwek steckenden
Disk's nicht gebotet werden kann. Schütze das BIOS der PC's durch
ein Passwort!

Durch physischen Zugriff auf auf den PC kann *jeder* (Hacker)
Admin - Rechte erlangen.
Achte darauf, dass auch zB von CD nicht gebotet werden kann.

Die MAC - Adresse des PC sollte beim Booten vom Einlogg - Server (?)
oder Boot - Server (z.B ON-Technology) überprüft und falsche
Rechner sofort der Port gesperrt werden.
Die Gehäuse der Rechner sollten verschlossen sein.


So, das wär's fürs Erste.


Golgotha

__________________
Man sieht nur mit dem Herzen gut.
Wirklich relevante informationren sind für's Auge unsichtbar!

Watchme

die Frage die sich mir stellt is: musst DU evtl. mitm USB Stick dran (also sollte man die Funktionalitaet aufrecht erhalten) ??

hat der Mitarbeiter im Normalfall Admin rechte lokal auf seiner kiste (war bei mir so...) ???

wenn er das nicht hat meine ich, das es eine moeglichkeit gibt zu sagen: UserXYZ darf nur Laufwerk C benutzen und hat sonst nirgendwo Rechte. Dann kann er zwar einen USB Stick anstecken, aber auf grund fehlender Rechte nicht benutzen....

Elderan

Hallo,
evt. muss man sich auch woanders den Knackpunkt anschauen

Und zwar schreiben sich Keylogger ja immer in den Autostart ein, aber wenn der normale User keine Rechte hat, den Autostart (Registy, *.ini-Datein, Service) zu verändern, dann sollte es für den Keylogger ein ding der unmöglichkeit sein sich in den Autostart zu packen, dann müsste der User den Keylogger nach dem Starten manuell starten.

Eine andere möglichkeit wäre, das man sagt, dass nach einem Neustart die Partition C wieder auf ihren Ursprung zurück gestellt wird.
Der User könnte dann seine Daten auf D oder noch besser nur auf dem Server (Eigene Dateien bei Domänen) speichern.

JasonDinAlt

Zunächst mal THX @ all für die Rückantworten

@Golgotha
Ich weiß nciht inwiefern das stimmt,aber auch wenn man die das USB im BIOS deaktiviert, wird unter Win2K ein entsprechend programmierter USB Sick als neues Laufwerk wahrgenommen, und dann von diesem gestartet folglich mit den entsprechenden Progammen darauf (siehe eine der letzten C't oder PC-Praxis), derselbe Effekt, Zugriff mit Adin Rechten möglich letztendlich auch der Zugriff auf den Rest des Systems oder zumindest das Einbringen von Schadfunktionen!

Ich mag jetz auch net von Angriffen mit dem Schraubenzieher ausgehen, das würde das ganze nur viel zu kompliziert machen ( frei nach dem altbekannten Spruch: Der sicherste PC steht ohne Strom im Tresor einer schweitzer Bank und wird von meiner Schwiegermutter bewacht, aber auch da hätt ich noch Zweifel ), weil des is eh kloa, sowas kann man net 100% absichern, aber es ist trotzdem relativ leicht fest stellbar, weil mechanisch erfolgt.l

@Watchme
Genau das ist der Hintergrund, nur jemand der sich mit sowas als berechtigt identifiziert, kann auch zugreífen.

In meiner Fa. wird z.Zt. darüber nachgedacht ob es nicht möglich ist, dass eine Chipkarte den User am PC identifiziert (so ungefähr wie das mit der EC-Karte beim bezahlen funtioniert). Das löst aber leider noch nicht das Problem, dass , es nach wie vor möglich ist mit entsrechenden Progs auf USB-Stick sich eigentlich jeder einen Admin.Zugang verschaffen kann.

@Elderan
So wi ich das beschrieben hab , bzw. für möglich halte, fängt der Spass ja schon vor dem Autostart an, nämlich beim booten der Kiste;

Mein Gedanke ist einfach, jeder der ein neues Prog installieren will hat sich zunächst mal als berechtigt auszuweisen.

In meinem Betrieb macht sowas durchaus Sinn, weil einige Abteilungen nur sehr spezielle Anwendungen brauchen, die dann auf einige Cleints installiert werden, weil nur die sie brauchen und der Rest der Mannschaft sie nicht braucht oder nix damit anfangen kann.

Ich bin ganz viel dankbar für freundliche Unterstützung und/ oder Brainstorming, wünsche nixdestoweniger @all "bonne Nuit", wie dr Franzose zu sagen pflegt , für mich is heute hier Schluss, weil ich genau weiss, wann meine kleine Tochter(6 Monate*stolzdaraufbin*) morgen wieder anfängt :]

Watchme

erstmal Herzlichen Glueckwunsch wg. deiner Tochter

zum Thema "identifizieren mit Karte" kann ich dir folgende kleine geschichte schreiben:
mein Chef im Praktikum hat das bei Siemens sich als einer der ersten in der Abteilung machen lassen. nur irgendwie stimmt danach was mit seinem Laptop nich.. entweder das ISDN fierl aus, das netzwerk war nciht ansprechbar, oder sonstiges passierte. Es hat ne ganze Zeit gedauert bis wir drauf kamen und das ganz malgetestet haben: bei bestimmten Schuhsohlen scheint sich der mensch aufzuladen. ueber die Karte gibt er diese Ladung unbewusst an den Rechner weiter, was ein PCMCIA Slot EXTREM uebel nimmt!
ende vom lied ist, das die dinger wieder abgeschafft wurden, weil mein chef alle 1-2 monate nen neuen Laptop brauchte, weil die haelfte nit mehr ging....
also das wuerde ich mir GUT ueberlegen.. (und vorher mal testen )

zum USB Problem....
Tja.. schwer schwer...
hmm.. es gibt einen Punkt der sich schimpft: Laden und entfernen von geraetetreibern.... als ich da NUR Administratoren eingetragen habe konnte ich als User meinen USB-Scanner nicht mehr ansprechen als ich den nachtraeglich angesteckt habe... ist das vllt. etwas?

muhkuh

ich weiß nicht ob das geht aber ich denk mir mal wenn keiner usbsticks braucht kann man ja einfach die treiber dafür vom system nehmen und verhindern dass die user sie wieder neu installieren. unter win98 kann man ja nicht so einfach nen usbstick reinstecken einfach weil die nicht automatisch erkannt werden. 2000 kann man das vielleicht auch beibringen.
Solange das bios kein booten vom usbstick unterstützt/der user das nicht einstellen kann sollte das ausreichende sicherheit bieten - wenns denn geht

silenced

@muhkuh

Deine Methode wurde in der CT 12/04
von Axel Vahldiek mit dem Thema"USB-Speichermedien unter Windows XP blockieren" genauer Beschrieben. Durch das Adminprivileg auf die USBSTOR.inf sollten normale Benutzer keinen Zugang auf USB Sticks erhalten (c't 12/04, Seite 206).

Ich weis, das dieses Thema schon in diesem Threat behandelt wurde.

cu

JasonDinAlt

@silenced
ich kenn den Spass mit der Deaktivierung der USBSTOR.inf usw., hab dafür auch eine klasse Beschreibung, nur was ist da dran, wenn mein Admin mir sagt, das is ja echt toll, aber im Zweifelsfall wird so ein Usb-Stich als Laufwerk angemeldet und alles wird trotzdem umgangen. In einer der letzten Pc-Praxis war genau der Weg beschrieben, wie dat mit der CD geht, und USB is mein ich noch ein Tick leichter.

Aaalso: ich muss davon ausgehen, dass jd. es schafft sich als Admin einzuloggen, mein Gedanke hierzu wär nur, der wirklich Befugte muss sich z.B. mit einem definierten USB -Stick identifizieren. Ist sowas möglich, oder hat mich der Alzheimer ergriffen?

@muhkuh
supa, Ihr habt das abgeschafft, ich war vor 2 Wochen auf einer Tagung, bei uns wollen sie diese "eierlegende Wollmilchsau "erst einführen
THX für die Tipps

und weiter geht mit dem Brainstorming, wär nett

Mechanius

ist zwar mal radikal aber man kann doch auch usb einfach vom motherboard löten.
sind nicht schon fingerabdruck scanner für pcs drausen?
das sollte dann so sein das nen adminfingeabdruck das system mit adminrechte bootet als auf C schreibzugriff hat bei jedem anderem vor dem booten das c laufwerk zurückgespiegelt wird und die rechte auf user lauten.

Sven

*zusammenreis*
schon mal auf die idee gekommen, dass man das auch im bios deaktivieren kann???? ablöten kann ma das sowieso net, im höchstfall die lötpunkte entfernen, was aber a Garantieverlust und b einen defekt des MB zur folge hat
*/zusammenreis*

zum Topic
Es gibt Kartenlesegeräte und spezielle karten dafür, sowas könnte hier in betracht kommen.

mfg
Sven

__________________
Mein Portfolio
Meine Fotogalerie
best view with open eyes

hamill

also bei den USB slots ist es relativ einfach, die sind auf die motherboards nur aufgesteckt. Die Verbindungskabel, meine ich.
Jetzt braucht man blos noch die Schrauben an den PCs zu fixieren. mit Nagellack zB.
und vorher die Kabel zu CDROM und Floppy ebenfalls abziehen.

Alternativ könnte man auch die CDROMs drinlassen und die Platten rausnehmen und die PC als echte clients laufen lassen. RDP, Citrix, NoMachine NX. Knoppix Terminal Server. PXE. you name it.
ist aber ein massiver Eingriff in die Software-Infrastruktur...

oder HD Sheriff. Das ist Zusatzhardware, die einfach gesagt, Schreibzugriffe auf die Festplatte verhindert. Oder falls gewünscht, die Schreibzugriffe zwar zuläßt, aber beim Ausschalten des PCs verwirft.
Ist aber hardware und somit nicht kostenneutral:-)

JasonDinAlt

@Mechanius
Ich hab eigentlich net an die Hammer- und Meisselmethode gedacht die Blechdeppen werden immerhin noch zum Arbeiten gebraucht

@hamill
das mit dem HD Sheriff werd ich mal googlen, oder weißt Du da was näheres drüber?

Hmmh.... ich glaub ich muss den Gedankengang erst mal ändern, net gleich auf ein Netzwerk beziehen, sondern erst mal auf einen Einzel-APC.

Die Frage müßte dann lauten: Es sind zwar Admin-Rechte da, aber jedes Mal, wenn ich ein Prog installieren will, fragt mich die Kiste: Stecken Sie den USB-Stick Nr. 0815 ein.... -----> sonst abbrechen.

Das würde dann ja eh in die Richtung Authentifizierung mittels Karte laufen, wobei IMHO ein USB-Stick wesentlich praktischer wäre, weil man da keine zusätzliche Hardware bräuchte (z.B. Kartenlesegerät o.ä.)

hamill

re HD-Sheriff
da weiß ich auch nur, was in der c't etc steht.
btw, nett ist http://www.wissen.swr.de/sf/fortblg/praxis01.htm (gegoogelt) "Informationen aus dem Computer sollten grundsätzlich handschriftlich zusammengefasst und bearbeitet werden, wenn man kein digitales Arbeitsergebnis anstrebt. SchülerInnen neigen dazu, gigantische Mengen an Material aus dem Internet zu kopieren, es auszudrucken und ins Heft zu kleben ? ohne es je gelesen zu haben." Die deutschen Lehrer scheinen eine sehr schlechte Meinung von ihren Schülern zu haben...

http://www.hdd-sheriff.de/auctores/s...fc5cb475eX3aef
die Beschreibung dort ist aber noch konfuser als die bei Dritten wie der c't. Und die hier wollen die Hersteller sein!

>Hmmh.... ich glaub ich muss den Gedankengang erst mal ändern, net gleich auf ein Netzwerk beziehen, sondern erst mal auf einen Einzel-APC.

ja klar. du hast ja letztlich 800 Einzel PCs, kein Netz..

>Die Frage müßte dann lauten: Es sind zwar Admin-Rechte da, aber jedes Mal, wenn ich ein Prog installieren will, fragt mich die Kiste: Stecken Sie den USB-Stick Nr. 0815 ein.... -----> sonst abbrechen.

das verstehe ich nicht. Du willst den Endbenutzern das root password geben, es soll auch funktionieren, als root password, aber trotzdem keine Wirkung zeigen?
Das wird schwierig. so von der Logik her :-)

was du höchstens machen könntest, wäre, auf NT (bzw 2K bzw XP) einen Virtual PC draufsetzen, und auf diesen wieder NT aufsetzen, und dort den Endbenutzern das admin password geben.
Das wird auch von M$ so beworben.

aber warum willst du das eigentlich? Habt ihr Software am Start, die nur unter dem admin account stabil läuft? (die Frage ist ernstgemeint. es gibt solche Software)
ich denke, an diesem Punkt müssen wir Dich noch ein wenig löchern, bevor wir Dein Problem verstehen!
*was* genau ist dein Problem?
mußt Du ein Klassenzimmer einrichten, mit 800 mal MS Encarta, das halt eben nur läuft, wenn du außerdem ein MS OS kaufst? Dann sind 800 mal ein MS OS und 800 mal ein hdd sheriff Teil der Nebenkosten des MS Encarta. Das war aber vor dem Kauf des Encarta eigenlich klar..
Oder brauchst Du 800 Datentypistenkonsolen? Dann brauchst Du 800 mal das hier
www.igel.de
Mit den 800 Wintendos kannst Du dann einen großen firmeninternen "Pausenraum" einrichten...
Wichtig: du darfst die PCs weder wegwerfen (Umweltschutz) noch der Müllabfuhr mitgeben (die wollen Geld für die sachgerechte Entsorgung und das belastet Dein Budget) noch den Mitarbeitern schenken (das wäre Geldwerte Leistung und würde Dich mehr Steuern kosten als die Entsorgung)...

>Das würde dann ja eh in die Richtung Authentifizierung mittels Karte laufen, wobei IMHO ein USB-Stick wesentlich praktischer wäre, weil man da keine zusätzliche Hardware bräuchte (z.B. Kartenlesegerät o.ä.)
ja aber was man dann auch nicht braucht, ist zusätzliche hardware, um den USB stick zu kopieren :-)

noch mal zur Software, bzw hd-sheriff.
hd-sheriff ist die eine Methode, die andere ist, erst gar keine HD zu haben, in den end user pcs. sondern übers Netz zu booten, zB mit PXE. oder tftp oder bootp. macht man in der unix Welt seit den 70er ...
im PC Segment ist da wohl vorgesehen, mit MS Terminal Server und RDP und Citrix zu arbeiten. ist egal, weil das gleiche Ziel erreicht wird: die gesamten Benutzerdaten liegen aufm server, wo man sie auf Band sichern und auch wiederherstellen kann, und sogar mit vorhersehbarem Aufwand.

wenn dir das alles zu gut ist ("das funktioniert ja. das will ich nicht" ist ne typische Antwort von PC usern) und du unbedingt regelmäßig die Platten deiner User wiederherstellen willst bzw den Platteninhalt, dann schau Dir mal die Tricks an, wie man wenigstens diesen Prozeß beschleunigen kann.

http://ani.sourceforge.net/
http://unattended.sourceforge.net/ "The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
http://isg.ee.ethz.ch/tools/realmen/ RealMen dont klick

noch zwei Dinge.
wannimmer du einen PC verriegelst, gegen "mißbräuliche Benutzung", wirst du auf gewaltigen Widerstand Deiner Benutzer stoßen, sie werden mit mehr Energie, als sie sonst zur Arbeit gehen, Wege um Deine Sperren suchen. Weil sie das nämlich meist zur tatsächlichen Arbeit brauchen.
ich würde daher empfehlen, eine hinreichende große Zahl an offenen PCs ihnen zur Verfügung zu stellen, also etwa 100 bei 800 usern. Offene PCs, mit denen man problemlos im internet surfen kann, recherchieren kann, email über webmail accounts abschicken kann, zB an den eigenen Firmenaccount, um zu checken, warum der heute gerade nicht geht.
zweitens. Ruf mal beim BSI und beim VS an und laß Dir einen Beratungstermin geben. Nicht einen Termin bei denen, die kommen Dich besuchen, und beraten Dich, kostenlos, für Dich. Das ist nämlich für die effizienter als nach dem Desaster aufzuräumen. So jedenfalls verstehe ich deren Werbung, die sie bei jeder zweiten Kirmes (Cebit, Hessentag etc) ausliegen haben.

was mich an dieser Diskussion betrübt, ist, daß wir immer noch an Konzepten arbeiten, nicht an Lösungen. Wenn du nur eine schnelle quick and dirty solution brauchst, für Dein LOGON via USB stick Problem, dann google einfach mal nach Gina Mainz. (nicht Gina Wild, Gina Mainz). Da beschreibt jemand, wie er den Passwordschutz abgeschaltet hat, weil ihn die Hunderten gesperrten workstation gestört haben, wo Benutzer die NT workstation in den screensaver geschickt haben und verriegelt haben, damit keiner ihnen den Platz wegnimmt, während sie in die Mensa gingen (und nicht wiederkamen)

noch ein link, der dir hoffentlich hilft, wenn du irgendwann einmal Ärger bekommst, wegen Deiner Wahl des falschen OS.
"We're more secure than the other guys," Ballmer said, blaming the sheer volume of attacks against his company's products on their popularity and the resulting fame that can be gained by hacking them. "There are more vulnerabilities in Linux, it takes longer for Linux developers to fix security problems. It's a good decision to go with Windows."
aus http://www.linuxinsider.com/story/37521.html

gucky

wenn ich das richtig verstanden habe suchst du soetwas hier. habe die teile auch schon auf deutsch gesehen. einfach mal googlen. aber ich denke die sind schon okay. verbindet das sd karten feature mit nem usb stick

http://www.griftech.com/wibu/wibulite.html
http://www.mtechsoftware.com/EXE/WIBU.pdf

alternativ habe ich auch schon welche gesehen mit fingerabdruck-scanner (die sind allerdings zu teuer 1gigab für 999 dollar).

mfg gucky