nicht angemeldet
Computer bei verlassen Sperren
0 0 
Der Martin
0 0 Der Martin
0
0
0 0
Computer bei verlassen Sperren
Guten Morgen!
Ich habe einen Rechner 24/h laufen undd möchte diesen sehr gerne so absichern, dass niemand ausser Berechtigten zugreifen kann.
Das habe ich mir vorgestellt:
-> Verschlüsselung der Systemfestplatte mit Truecrypt. Dadurch ist er im ausgeschalteten Zustand bestens geschützt.
-> Nun fehlt noch die Absicherung im laufenden Betrieb. Da sollten zum einen die USB Ports so gesperrt sein, dass entweder nur freigeschaltete Geräte zugriff haben oder keine Daten kopierbar sind.
-> Zusätzlich sollte der Bildschirm / Tastatureingaben deaktiviert sein.
Das habe ich dazu im Netz gefunden, übberzeugt mich aber nicht so wirklich. Was meint Ihr dazu?
Danke für Eure Antworten!
-
Um absolute Sicherheit zu gewährleisten, trenne man beim PC die Stromzufuhr, gieße ihn in einen Stahlbetonwürfel mit 4m Kantenlänge ein und versenke ihn im Meer.
Wenn keine Treiber installiert werden können, hat sich ein Großteil der USB-Hardware bereits erledigt. Noch effektiver, wenn auch ein wenig teurer, sind PC-Gehäuse mit abschließbaren Kabelschächten (findet man in Banken recht häufig), die es einem Angreifer unmöglich machen, zusätzliche Peripherie an den PC anzuschließen.
Des weiteren sollte man, wenn man den PC verläßt, einen Bildschirmschoner mit Relogin verwenden.
Alles andere - insbesondere ein Fingerabdruckscanner - ist Firlefanz. Die Tastatur, auf der man regelmäßig verwertbare Fingerabdrücke hinterläßt, liegt üblicherweise gleich nebenan.
Gruß, LX
--
RFC 1925, Satz 2: Egal, wie fest man schiebt, ganz gleich, wie hoch die Priorität ist, man kann die Lichtgeschwindigkeit nicht erhöhen.-
Hallo,
Wenn keine Treiber installiert werden können, hat sich ein Großteil der USB-Hardware bereits erledigt.
wie kommst du darauf? Der Treiber für USB Mass Storage Devices ist heutzutage fester Bestandteil der gängigen Betriebssysteme. Wenn dann das angestöpselte Medium noch sofort gemountet und ggf. sogar ein vorkonfiguriertes Programm darauf gestartet wird (wie es bei Windows üblich ist), ...
Noch effektiver, wenn auch ein wenig teurer, sind PC-Gehäuse mit abschließbaren Kabelschächten (findet man in Banken recht häufig), die es einem Angreifer unmöglich machen, zusätzliche Peripherie an den PC anzuschließen.
Oder der PC in einem abgeschlossenen Schrank, aus dem nur die Kabel für Bildschirm, Tastatur und Maus heraushängen. Auf gute Belüftung achten!
Des weiteren sollte man, wenn man den PC verläßt, einen Bildschirmschoner mit Relogin verwenden.
Und wenn man Windows verwendet, unbedingt die "Autorun"-Funktion für CDs/DVDs und USB-Medien abstellen, sonst steckt nämlich jemand einfach einen USB-Stick an oder legt eine CD ein, startet damit jedes gewünschte Programm unter dem derzeit angemeldeten Benutzer und entriegelt den PC damit von innen. Also noch ein Grund, den PC physisch wegzuschließen.
Ciao,
Martin--
Eine Nonne kommt in den Himmel. An der Pforte fragt Petrus: "Wer bist du?" - "Ich bin die Braut Jesu." Petrus stutzt einen Moment, ruft dann nach hinten: "He Freunde, habt ihr schon gehört? Der Juniorchef will heiraten!"
-
Hello,
Und wenn man Windows verwendet, unbedingt die "Autorun"-Funktion für CDs/DVDs und USB-Medien abstellen, sonst steckt nämlich jemand einfach einen USB-Stick an oder legt eine CD ein, startet damit jedes gewünschte Programm unter dem derzeit angemeldeten Benutzer und entriegelt den PC damit von innen. Also noch ein Grund, den PC physisch wegzuschließen.
Nette Idee. Danach suche ich bei WinXP immer noch für die USB-Geräte. Wenn man sie abtrennt ist nach dem Wiederanstöpseln dieses dämliche Autorun immer wieder eingeschaltet. Oder Bin ich einfach zu blöd, das permanent für alle Devices auszuschalten, auch für diejenigen, die ja noch gar nicht da sind?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo,
Und wenn man Windows verwendet, unbedingt die "Autorun"-Funktion für CDs/DVDs und USB-Medien abstellen, ...
Nette Idee. Danach suche ich bei WinXP immer noch für die USB-Geräte.ich hab's auf meinen XP-Maschinen über den Registry-Schlüssel
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
abgestellt. Der Eintrag ist bit-codiert, jedes Bit stellt Autorun für einen bestimmten Laufwerkstyp ab, wenn es gesetzt ist:bit 0 - unbekannter Laufwerkstyp
bit 1 - nicht verwendet oder nicht dokumentiert
bit 2 - Wechseldatenträger (USB, Floppy, ZIP-Drive ...)
bit 3 - interne Festplatten
bit 4 - Netzlaufwerke
bit 5 - CD/DVD-Laufwerke
bit 6 - RAM-Disks
bit 7 - unbekannter LaufwerkstypEmpfehlenswert ist also beispielsweise 0xB5. Das erlaubt Autoplay noch für interne Festplatten (damit können z.B. angepasste Kontextmenüs für einzelne Partitionen erstellt werden) und RAM-Disks, deaktiviert die Funktion aber für CDs/DVDs, Netzlaufwerke, sowie alle Wechselmedien.
So long,
Martin--
Wer im Glashaus sitzt, sollte Spaß am Fensterputzen haben.
-
Hello,
ich hab's auf meinen XP-Maschinen über den Registry-Schlüssel
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
abgestellt. Der Eintrag ist bit-codiert, jedes Bit stellt Autorun für einen bestimmten Laufwerkstyp ab, wenn es gesetzt ist:bit 0 - unbekannter Laufwerkstyp
bit 1 - nicht verwendet oder nicht dokumentiert
bit 2 - Wechseldatenträger (USB, Floppy, ZIP-Drive ...)
bit 3 - interne Festplatten
bit 4 - Netzlaufwerke
bit 5 - CD/DVD-Laufwerke
bit 6 - RAM-Disks
bit 7 - unbekannter LaufwerkstypEmpfehlenswert ist also beispielsweise 0xB5. Das erlaubt Autoplay noch für interne Festplatten (damit können z.B. angepasste Kontextmenüs für einzelne Partitionen erstellt werden) und RAM-Disks, deaktiviert die Funktion aber für CDs/DVDs, Netzlaufwerke, sowie alle Wechselmedien.
Schade, sah aus, wie ein typischer guter Martin-Tipp.
Ich komme aber nur bisHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\
bei meiner Installation.
Muss ich den weiteren Pfad und Schlüssel anlegen?Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hi,
ich hab's auf meinen XP-Maschinen über den Registry-Schlüssel
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
abgestellt.
Schade, sah aus, wie ein typischer guter Martin-Tipp.danke für die Blumen. :-)
Ich komme aber nur bis
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ bei meiner Installation.
Muss ich den weiteren Pfad und Schlüssel anlegen?Sieht so aus - obwohl ich das so noch nicht kenne. Ich habe den Schlüssel bisher immer fertig vorgefunden, meist mit dem Wert 0x95 (Windows 98, 2000) oder 0x91 (Windows XP).
Denk dran, dass unter HKCU noch ein gleichnamiger Schlüssel pro Benutzer existiert. Es scheint so, dass hier der system- und der benutzerspezifische Schlüssel ODER-verknüpft werden, um die tatsächlich wirksame Einstellung zu erhalten. Will heißen: Wo man das Bit setzt, um einen Autorun-Typ abzuschalten, ist egal; will man Autorun für einen Typ erlauben, muss das entsprechende Bit aber sowohl auf Maschinen- wie auch auf Benutzerebene 0 sein.Der von Ork verlinkte MS-Artikel erwähnt, dass es wohl bestimmte Patch-Level gibt, bei denen die Abschaltung von Autorun nicht korrekt umgesetzt wird. Ich bin mir nicht sicher, meine aber, dass sich das nur auf den Eingriff über den Policy-Editor bezieht, der möglicherweise den Wert nicht korrekt in die Registry durchgibt. Beim direkten Setzen des genannten Registry-Eintrags hatte ich bisher immer Erfolg.
Good luck,
Martin--
Lieber eine gesunde Verdorbenheit als eine verdorbene Gesundheit.
-
Hello,
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
Der von Ork verlinkte MS-Artikel erwähnt, dass es wohl bestimmte Patch-Level gibt, bei denen die Abschaltung von Autorun nicht korrekt umgesetzt wird. Ich bin mir nicht sicher, meine aber, dass sich das nur auf den Eingriff über den Policy-Editor bezieht, der möglicherweise den Wert nicht korrekt in die Registry durchgibt. Beim direkten Setzen des genannten Registry-Eintrags hatte ich bisher immer Erfolg.
Den habe ich, soweit ich das vorhin auf die Schnelle geschafft habe, befolgt und dann war anschließend auch
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
vorhanden.
Der Schlüssel war aber noch nicht da.
Ich habe dann, wie beschrieben, das Gpedit.msc durchgeführt...
Aber es wird wohl noch ein Patch fehlen, den ich übersehen habe.Schaun wir mal.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
-
-
-
USB-Geräte. Wenn man sie abtrennt ist nach dem Wiederanstöpseln dieses dämliche Autorun immer wieder eingeschaltet.
Google: autorun deaktivieren -> 2. Eintrag: http://support.microsoft.com/kb/967715/de
-
Hello,
USB-Geräte. Wenn man sie abtrennt ist nach dem Wiederanstöpseln dieses dämliche Autorun immer wieder eingeschaltet.
Google: autorun deaktivieren -> 2. Eintrag: http://support.microsoft.com/kb/967715/de
Ok, habe die Anleitung befolgt und auch mal neu gebootet (man weiß ja nie so genau bei M$), aber es greift immer noch nicht. :-((
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Ok, habe die Anleitung befolgt und auch mal neu gebootet (man weiß ja nie so genau bei M$), aber es greift immer noch nicht. :-((
Die Updates hast du auch eingespielt? Ohne die geht's nicht wirklich.
-
Hello,
Ok, habe die Anleitung befolgt und auch mal neu gebootet (man weiß ja nie so genau bei M$), aber es greift immer noch nicht. :-((
Die Updates hast du auch eingespielt? Ohne die geht's nicht wirklich.
Ich denke ja, aber ich hatte vorhin nicht mehr soviel Zeit, das nochmal alles zu überprüfen.
Werde ich wohl moren nochmal einen Versuch wagen...Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo!
also ich habe folgendes zum Sperren von USB - Ports gefunden:
-> Registrierungseditor öffnen
-> gehe zu "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control"
-> Bearbeiten, NEU SCHLÜSSEL -> "StorageDevicesPolicies" anlegen
-> DWORD-Wert (32-Bit) anlegen mit Name "WriteProtect"
-> Wert "1" zuweisenErgebis sollte sein, dass keine Daten mehr auf USB geschrieben / kopiert werden können. Lediglich lesezugriff von USB ist gestattet.
Vlt. hilft das weiter?
-
-
-
-
-
-
-
-
Sperr den Rechner irgendwo ein wo nur Berechtigte rankommen und greif über Remote drauf zu.
-
Hello,
Sperr den Rechner irgendwo ein wo nur Berechtigte rankommen und greif über Remote drauf zu.
Und en Remote-Host sperrt er dann irgendwo ein, wo nur Berechtigte rankommen und greift über Remote drarauf zu...
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
So etwa :-)
Damit wär er schon mal das Problem mit der Hardware los, am eingesperrten Rechner kann keiner was an oder abstöpseln.
Und am Remotehost kann man sich ja abmelden wenn man grad nicht da ist. Ganz ohne mitdenkende Benutzer wird es wahrscheinlich nicht gehen.
Vielleicht kann man bei Remote irgendwo auto-Abmeldung einstellen, darüber weiß ich aber nichts.
-
-
Sperr den Rechner irgendwo ein wo nur Berechtigte rankommen und greif über Remote drauf zu.
-> Das löst das Problem leider nicht da der PC einen USB Monitor angeschlossen hat und somit ja ein USB Kabel zwingend zum ungeschützten Monitor läuft. Somit ist einschließen keine Lösung für mich...
-
-> Das löst das Problem leider nicht da der PC einen USB Monitor angeschlossen hat und somit ja ein USB Kabel zwingend zum ungeschützten Monitor läuft. Somit ist einschließen keine Lösung für mich...
Wenn du mit Remote auf die Kiste gehst, kannst du doch den Monitor weg machen.
-
da der PC einen USB Monitor angeschlossen hat
Wer macht denn sowas? Bei den meisten USB-Monitoren ist der USB-Anschluss ohnehin nur ein Goodie, hat der Monitor denn kein DVI oder VGA als Primäranschluss?
Oder handelt es sich dabei um ein Status-Monitor oder vergleichbares der überhaupt nur USB hat?
-
-
-
Hallo :)
-> Zusätzlich sollte der Bildschirm / Tastatureingaben deaktiviert sein.
Nach einem Einbruch in meine Gartenlaube verriet mir ein urururalter Nachbar seine Methode zur Absicherung seiner Laube: Er setze einfach jeden Abend vor Verlassen des Gartens die Türklinke mittels Autobatterie unter Strom.
mfg
cygnus--
Die Sache mit der Angel und dem ><o(((°> hat immer einen Haken ...