Hallo, ist es möglich, Windos XP Professionell wirksam vor Sabotage zu schützen? Soll heißen, ein Benutzer kann, selbst wenn er es wollte, keinen Schaden an dem OS oder den installierten Programmen anrichten.
Besonders wichtig wäre mir, daß das Symbol für den Virenscanner in der Taskleiste - zwecks Gewißheit daß dieser auch läuft - zwar zu sehen ist, aber der Benutzer keine Möglichkeit hat, z.B. über Rechts- oder Linksklick, das Programm zu manipulieren.
Weiter wäre das Verbieten von bestimmten Tastenkombinationen wichtig (Z.B um zu verhindern, daß der Virenscanner über den Task Manager beendet wird.), und beim Hochfahren ein Sperren von bestimmten (oder allen) Tasten, um zu verhidern, daß man Zugriff auf das BIOS hat (BIOS-Passwörter sind nicht sicher).
Was davon ist mit winXP Pro möglich, oder brauche ich zusätzliche Software?

Besten Dank, Buntspecht

Wenn der nicht-vertrauenswürdige Nutzer dauerhaft physischen Zugriff auf den PC hat, wirst du niemals einen absoluten Schutz bekommen. Du kannst aber mit Hilfe der Sicheheitsrichtlinien Hürden aufstellen, damit nicht einfach mal so was geändert werden kann.
Schau dir mal secpol.msc, gpedit.msc und lusrmgr.msc an. Das ist aber nicht unbedingt eine Arbeit für einen Abend...

Original geschrieben von Buntspecht
Hallo, ist es möglich, Windos XP Professionell wirksam vor Sabotage zu schützen? Soll heißen, ein Benutzer kann, selbst wenn er es wollte, keinen Schaden an dem OS oder den installierten Programmen anrichten.
Besonders wichtig wäre mir, daß das Symbol für den Virenscanner in der Taskleiste - zwecks Gewißheit daß dieser auch läuft - zwar zu sehen ist, aber der Benutzer keine Möglichkeit hat, z.B. über Rechts- oder Linksklick, das Programm zu manipulieren.
Weiter wäre das Verbieten von bestimmten Tastenkombinationen wichtig (Z.B um zu verhindern, daß der Virenscanner über den Task Manager beendet wird.), und beim Hochfahren ein Sperren von bestimmten (oder allen) Tasten, um zu verhidern, daß man Zugriff auf das BIOS hat (BIOS-Passwörter sind nicht sicher).
Was davon ist mit winXP Pro möglich, oder brauche ich zusätzliche Software?

Besten Dank, Buntspecht

Hmm, also mit den Boardmitteln kann man es gut absichern. Man kann einen Benutzer, der Gruppe "Benutzer" zuweisen. Wichtig ist, daß dieser Benutzer keiner anderen Gruppe angehört. Damit kann man keinerlei Programme deinstallieren oder installieren. Man kann auch das Windows nicht beschädigen und viele Einstellungen nicht ändern.

Natürlich hat dies auch seine Grenzen. Es kann sein, daß einige Programme nicht laufen... vor allem Spiele, da diese in den meisten Fällen Administratorrechte brauchen. Man kann das Konzept auch ausheben indem man Windows neu installiert oder von der Knoppix-CD bootet etc.

Danke für die Antworten.
Hallo Exxtreme, ich dachte mir das folgendermaßen. Es wäre schön, wenn ich dem Benutzer einfach eine Positivliste (oder Negativliste) zuweisen könnte, von Programmen, die er starten, verändern usw. kann (bzw. nicht kann). Auf dem Desktop stelle ich dem Benutzer dann einen Ordner zur freien Verfügung, hier darf er bis zu einer festgelgten Grenze Dateien anlegen, löschen usw., aber nur dort. Auf den Arbeitsplatz darf nicht zugegriffen werden, um zu verhindern, daß der Nutzer tiefer in das System eindringen, und so Schaden anrichten kann. Ein Booten mit Knoppix oder DOS-Diskette wäre leicht im BIOS zu unterbinden, indem es nur ein Bootlaufwerk gibt - nämlich c.
Dreh- und Angelpunkt wäre hier aber ein zuverlässiger Schutz des BIOS (Um kein Booten von a oder d zu gestatten). Jetzt ist die Frage, wie schütze ich das BIOS vor Unbefugten? Ist es möglich, beim Hochfahren die Tastatur zu sperren? Denn die wird ja aktiviert bevor XP überhaupt geladen ist, oder? Vielleicht gibt es auch einen Hardware-Schutz? Z.B. Mainboards, die per Dippschalter-Einstellung die Tastatur erst nach ein paar Sekunden freigeben, oder ist das doch Softwareseitig machbar?
Zweite Frage, kann man den Zugriff auf ein laufendes Programm, welches ein Symbol in der Taskleiste hinterlegt, unterbinden? Ich weiß, daß man Symbole einfach für bestimmte Benutzer unsichtbar machen kann, das ist hier aber nicht erwünscht.

Original geschrieben von Buntspecht
Danke für die Antworten.
Hallo Exxtreme, ich dachte mir das folgendermaßen. Es wäre schön, wenn ich dem Benutzer einfach eine Positivliste (oder Negativliste) zuweisen könnte, von Programmen, die er starten, verändern usw. kann (bzw. nicht kann). Auf dem Desktop stelle ich dem Benutzer dann einen Ordner zur freien Verfügung, hier darf er bis zu einer festgelgten Grenze Dateien anlegen, löschen usw., aber nur dort. Auf den Arbeitsplatz darf nicht zugegriffen werden, um zu verhindern, daß der Nutzer tiefer in das System eindringen, und so Schaden anrichten kann. Ein Booten mit Knoppix oder DOS-Diskette wäre leicht im BIOS zu unterbinden, indem es nur ein Bootlaufwerk gibt - nämlich c.
Dreh- und Angelpunkt wäre hier aber ein zuverlässiger Schutz des BIOS (Um kein Booten von a oder d zu gestatten). Jetzt ist die Frage, wie schütze ich das BIOS vor Unbefugten? Ist es möglich, beim Hochfahren die Tastatur zu sperren? Denn die wird ja aktiviert bevor XP überhaupt geladen ist, oder? Vielleicht gibt es auch einen Hardware-Schutz? Z.B. Mainboards, die per Dippschalter-Einstellung die Tastatur erst nach ein paar Sekunden freigeben, oder ist das doch Softwareseitig machbar?
Zweite Frage, kann man den Zugriff auf ein laufendes Programm, welches ein Symbol in der Taskleiste hinterlegt, unterbinden? Ich weiß, daß man Symbole einfach für bestimmte Benutzer unsichtbar machen kann, das ist hier aber nicht erwünscht.

dann nehm ich für 5 mins die bios batterie raus und komm 100%ig ins bios :D

Original geschrieben von Ulukay
dann nehm ich für 5 mins die bios batterie raus und komm 100%ig ins bios :D

Dafür gibt´s ja abschließbare Gehäuse, was du als Admin aber sicher selber weißt.

Also mit der Positiv-/Negativ-Liste ist mir leider nichts bekannt. Man kann es aber anders lösen, indem man die Berechtigungen auf die Ordner, in denen die Programme installiert sind, so setzt, daß der Nutzer nur die vergeschriebenen Programme starten kann. Also wenn der Nutzer kein MS Office nutzen soll, dann einfach den Zugriff auf C:\Programme\Microsoft Office für den Nutzer verweigern. Ist zwar etwas Arbeit aber es hilft.

Das Problem mit dem BIOS ist, daß es sich meist resetten lässt. Es gibt auf dem Motherboard meist DIP-Schalter, die das BIOS resetten. Alternativ kann man die Batterie für eine halbe Stunde rausnehmen etc. Und die Tastatur während des Bootvorgangs zu sperren ist keine gute Idee da man sich damit automatisch auch als Admin aussperrt. Der Rechner erkennt nämlich nicht, wer davor hockt. Mir ist auch keine Hardware in der Richtung bekannt, die das könnte.

Und wie das mit der Taskleiste geht, weiss ich leider nicht.

Original geschrieben von Grendel
Dafür gibt´s ja abschließbare Gehäuse, was du als Admin aber sicher selber weißt.

ja super, dann steck ich das keyboard ab, lass den pc booten, der läuft in ne bios fehlermeldung, stecks keyboard wieder an und hurra :)

oder ich benutz den witzigen debug befehl im command prompt und den cmos zu löschen und flutsch -> bios

:D

ich will damit nur sagen dass es sauschwer wird einen windoof pc wirklich soweit abzusichern, und wenn einer wirklich will findet er auch einen weg

Original geschrieben von Ulukay
ja super, dann steck ich das keyboard ab, lass den pc booten, der läuft in ne bios fehlermeldung, stecks keyboard wieder an und hurra :)

oder ich benutz den witzigen debug befehl im command prompt und den cmos zu löschen und flutsch -> bios

:D

ich will damit nur sagen dass es sauschwer wird einen windoof pc wirklich soweit abzusichern, und wenn einer wirklich will findet er auch einen weg

Das ist klar, wie wir ja alle wissen gibt´s keine 100% Sicherheit. :)

ja das schlimme is bei dieser konfig aber dass der potentielle angreifer physikalischen zugriff hat

Original geschrieben von Ulukay
ja das schlimme is bei dieser konfig aber dass der potentielle angreifer physikalischen zugriff hat Und dann hindert ihn - wie imagine ganz richtig geschrieben hatte - auf Dauer niemand daran, am System beliegibe Veränderungen vorzunehmen (und der BIOS-Zugriff lässt sich ja nun unabhängig vom Betriebssystem umgehen).

In dem Zusammenhang muss ich mal wieder erwähnen, dass man auch bei Windows 2000 (nicht nur bei XP) mit der Windows 2000 Boot-CD ohne Admin-Passwort in die Recovery-Console kommt, wenn man's richtig macht.

Wenn man in der Lage ist die Bootreihenfolge zu ändern ist sowieso alles vorbei. Das einzige was dann noch geschützt ist sind verschlüsselte Dateien.
Aber noch ein anderer Punkt: Wenn du diesem Nutzer so wenig vertraust und scheinbar davon ausgehst dass er nichts unversucht lassen wird das System zu manipulieren oder unbrauchbar zu machen, solltest du ihn evtl erst gar nicht an die Kiste lassen oder ihm noch auf anderem Wege klarmachen, dass das System besser so bleibt wie es ist. Soziale Probleme lassen sich auch hier nicht allein mit technischen Mitteln lösen.

Original geschrieben von imagine
Wenn man in der Lage ist die Bootreihenfolge zu ändern ist sowieso alles vorbei. Das einzige was dann noch geschützt ist sind verschlüsselte Dateien.
Aber noch ein anderer Punkt: Wenn du diesem Nutzer so wenig vertraust und scheinbar davon ausgehst dass er nichts unversucht lassen wird das System zu manipulieren oder unbrauchbar zu machen, solltest du ihn evtl erst gar nicht an die Kiste lassen oder ihm noch auf anderem Wege klarmachen, dass das System besser so bleibt wie es ist. Soziale Probleme lassen sich auch hier nicht allein mit technischen Mitteln lösen.

naja, könnte ja ein internet cafe sein :D

aber da würd ich diskless client pcs nehmen, die vom netz booten und fertig

Bei diesem PC ist ein Angriff direkt auf das Innenleben nicht möglich, also einfach den CMOS-Speicher löschen geht nicht. Gibt es denn, außer dem standardmäßigen Paßwortschutz von acht Zeichen, den es bei jeden BIOS gibt, keine andere Möglichkeit es zu schützen?
Wie ist es, wenn ich den PC als Client booten lasse? Trotzdem kann ich beim Hochfahren Hostseitig nicht die Benutzung der Tastatur verhindern, so daß der Angreifer mit einem Tastendruck in die Paßwortabfrage des BIOS gelangt, und dort dann unendliche viele Versuche frei hat, acht Stellen zu erraten, wenn es nicht sogar ein Universal-Paßwort vom Hersteller gibt?
Danke bis hier her.

100 sicherheit gibt es nicht. das mit dem bios würde ich gleich mal vergessen sonst kannst du gleich aufhören. das bekommst du nicht sicher außer du schließt den rechner ein und keiner darf ne cd einlegen ;-)

was die windowsgeschichte angeht kannst du schon viel drehen...mußt halt die sicherheitsrichtlinien auf anschlag stellen und alles was nur geht ausblenden usw. aber das ist ein thema wo du dir lange zeit nehmen sollst. selbst ein einfacher benutzer legt dir deine kiste in 2 minute lahm wenn er sich gut auskennt.

Sam

Es gibt - für deine Zwecke leider - zu jedem BIOS "Universalpassworte". In Wirklichkeit wird nie das tatsächlich eingegebenen Passwort überprüft, sondern immer nur ein Hash - quasi eine Prüfsumme - für das eingegebene Passwort.

IBM PCs bieten immerhin noch die Möglichkeit, die Tastatur während der Initialisierungssequenz von Erweiterungskarten zu deaktivieren (kenne ich bei keinem Board aus dem Retail-Markt). Das dient in erster Linie dazu, das unbefugte Formatieren von SCSI-Platten über das Adapter-BIOS zu verhindern. Gegen die von Ulukay vorgeschlagene Methode, die Tastatur beim Booten abzuziehen, hilft noch die Einstellung "Halt on no errors". Im BIOS Setup selbst kann man direkt ohnehin nicht so viel Schaden anrichten, außer natürlich, die Bootreihenfolge zu ändern. :D Da ist nunmal alles, was man einstellen kann, nur ein zusätzliches Hindernis, aber kein endgültiger Schutz. Von dem Gedanken wirst du dich vermutlich verabschieden müssen.

Vielleicht solltest du im ersten Schritt nochmal deine Anforderungen konkretisieren und priorisieren: Welche Anforderung steht an erster Stelle? Datenklau verhindern oder Veränderunge an der Sysstemeinstellungen verändern? Das zweite kann das erste zwar begünstigen, aber trotzdem muss man beide Punkte getrennt betrachten. Und in diesem Thread findet man ja zu beidem schon sehr hilfreiche Ansätze.

edit:
Ach sieh an, der Sam war mal wieder schneller. Und das um die Uhrzeit! Musst du gleich nicht arbeiten?

@harkpabst_meliantrop: Du hast recht ich bin aber erst heimgekommen wir hatten abteilungsessen. viel schlafen konnte ich nicht ich mußte die rechner für die frankfurter messe fertigstellen :-/
und selbst ?

@Buntspecht: wie schon oben erwähnt. du bekommst den/die rechner schon "sicher" allerdings solltest du dich dafür gründlich vorbereiten. das beinhaltet sicher auch das windowsserver OS mit einer domäne und ads und sicherheitsrichtlinien sollten dann vom wissensstand kein problem darstellen.

Frühstück ;-)

Wenn es darum geht einen PC davor zu schützen das Betriebsystem oder Programme darauf zerlegt werden ist das vielleicht eine gute Lösung:
http://www.hdd-sheriff.de

Ist halt nur eine Frage des Preises ...