DenisevanHoorn

So, ich habe es weitgehend so gelöst, dass die Hürde nun schon recht hoch ist. Wenn's nun einer schafft, dann hat er tiefere Kenntnisse, das ist bei unseren Leuten aber nicht zu erwarten. :) Wir haben Eurem Rat folgend auf die weitere Installation einer Firewall verzichtet, stattdessen Änderungen in der Registry vorgenommen. Zum einen wurden die vererbten Rechte der Schlüssel verändert, zum anderen die Gruppen "Administratoren" und "Benutzer" entfernt. Lediglich "Administrator" hat noch Zugriff auf die Schlüssel der zu startenden Treiber. Durch setzen des Wertes "4" im Schlüssel "Start" haben nun die entsprechenden Treiber alle ein Ausrufezeichen und nur "Administrator" ist in der Lage, das einfach und mittels (aktuell) einer REG-Datei zu ändern. Damit hilft auch die "Problemlösung" nicht mehr. Dem "System" haben wir die Berechtigung noch gelassen, überlegen derzeit, ob wir diese Berechtigung auch entfernen, damit man nicht über ein anderes Tool sich Systemrechte verschaffen kann. Ggf. reichen Nur-Leserechte vielleicht auch aus. Hier kommt die Batchdatei im Ganzen. Sie befindet sich noch im Entwicklungsstadium und kann bestimmt noch Verbesserungen vertragen. :: Vererbungen entfernen, Berechtigungen kopieren SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" :: Benutzer Administrator für die Keys berechtigen SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" :: Benutzergruppen Administratoren und Benutzer entfernen SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Killer Network Service" /v "Start" /t reg_dword /d "00000004" /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KillerEth" /v "Start" /t reg_dword /d "00000004" /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHUSB" /v "Start" /t reg_dword /d "00000004" /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vwifibus" /v "Start" /t reg_dword /d "00000004" /f "Killer Network Service", "KillerEth", "BTHUSB" (Bluetooth), und "vwifibus" sind die Treiber für die Netzwerkkarte. Blauzahn und WiFi. Für Hinweise auf Fehler, und Anregungen bin ich sehr dankbar. Ich setze das Thema auf "Gelöst" :) Nochmals Dank an alle! Denise EDIT: Hm... ich kann es leider nicht auf "Gelöst" setzen... :(

@daabm: Wir haben gestern eine Firewall ausprobiert (Comodo), die man mit Passwort schützen kann. Alle Versuche unter dem 2. Admin-Account Zugang zum Netz zu bekommen, scheiterten, weil die Firewallanwendung auch sofort Alarm schlug und den Einstellungsversuch nicht zuliess. So weit, so gut. Vollkommen b***d ist, dass Comodo weder unattended installiert werden kann, noch kann man es mittels Script steuern. Na gut, diese Kröte würden wir schlucken. Auch ZoneAlarm kann man mittels Passwort schützen. Vielleicht auch unattended installieren und per Script steuern. Das würde uns die Arbeit sehr erleichtern und die Nutzung dieser Geräte vollumfänglich möglich machen. Nun sind wir sicher wieder bei "Hashcode" tauschen, Eingriff in Registry möglich usw. Aber wie ich schon eingangs schrieb: wenn eine entsprechende kriminelle Energie und das Fachwissen vorhanden ist, knack ich jedes System. Aber es geht uns darum, die Hürden so hoch wie nur möglich zu legen. Alternativ fiel uns auch ein, das Betriebssystem zweimal zu installieren und in einer der beiden Installationen Manipulationen vorzunehmen, wie sie hier schon vorgeschlagen wurden (Sperren von Anwendungen, verbiegen der Namensauflösung, setzen von Policies etc.). Auch das hätte durchaus Vorteile wie Nachteile... Aufwand und Nutzen... Hat jemand vielleicht noch eine bessere Alternative zu Comodo oder Zonealarm? Einstellungen müssen aber per Passwort geschützt werden können. Ich möchte mich aber ganz herzlich für die vielen Vorschläge bedanken. Wir sind noch in der Entscheidungsphase und werden erst einmal zwei Geräte unterschiedlich einrichten und schauen, welches die bessere Alternative ist und die größtmögliche Flexibilität bietet. Grüße, Denise

@Gulp: Wie ich schon eingangs schrieb: das ist nicht mehr möglich. Das hätte in einer Ausschreibung von vorneherein festgelegt sein müssen. War es leider nicht. Ganz klar: unser Fehler! @Weingeist:Hm, das sind ja schon eine Reihe von Maßnahmen, die wenn einmal ein Script geschrieben ist, dem Nutzer es schon recht schwer machen. Ich werde mir diesen Lösungsweg mal aufzeichnen und schauen, was da möglich ist. Wenn man so ein Script erstmal fertig hat, ist es ja ein Klacks das auf den anderen Laptops (insgesamt 20) zu übertragen. Wir gehen hier gerade das Problem durch, da fließen Eure Vorschläge natürlich mit ein.

@Gulp Klar, keine Frage. Hier sind wir dann wohl eher im Modus "Security By Obscurity", wie der Stellenwert dieser Sicherheit einzustufen ist, wissen wir alle. Aber diese Hürden des "nur mal eben einen Hashwert austauschen" sind ja schon recht hoch. Eine solche Manipulation ist nachvollziehbar (oder protokollierbar) und dann gibts eine Abmahnung. Kommt es dann zu einem Abfluss interner Daten ins Netz, sind die Folgen für den Täter auch finanziell unabsehbar. Es geht wirklich darum Hürden zu schaffen, die - sag ich mal - mit der entsprechenden "kriminellen Energie" überwunden werden. @Weingeist Mit Powershell-Scripten habe ich es versucht. Ein unwissender Anwender hat bei einem Test lediglich die "Problembehandlung" gestartet und war nach 2 Minuten im Netz (verdammt... :( ) Und leider sind diese Dinge nicht unbedingt wiederkehrend. Es geht um Auswertung und Analyse verschiedenster Datenbestände. Und da kommen wir nicht um die maximale Flexibilität herum. Und selbst programmieren ist leider keine Option, aus vielen Gründen. Ich suche inzwischen ja weiter und habe da noch verschiedene Ansätze. Mit einer Firewall habe ich schon den Effekt, dass ich den Netzwerktraffick blocken kann und kein Datenverkehr mehr stattfindet. Aber die kann ich nicht mit einem Passwort sperren. Aber die Liste der angebotenen Firewalls ist lang und reduziert sich nur durch die, deren Webseiten mittlerweile nicht mehr existieren. Da lauert wohl noch eine Menge Arbeit und probieren.

:) Nee... das ist zu einfach. Auf unseren Dienst-PCs haben wir eine Antivirensoftware. Und obwohl ich Admin bin, könnte ich die nur nach vorheriger Eingabe eines Passwortes abschalten. ;)

Danke Euch beiden für Eure Reaktion. @lefg Ja, habe ich. Aber wie Gulp schon richtig schrieb: es gibt kein anderes BIOS dafür. Ist auch schon das neueste drauf. @Gulp Deshalb ja meine Frage, ob es eine Configsoftware, Firewall, oder ähnliches gibt, die Änderungen nur mit einem Passwort zulassen, das dann der Benutzer"admin" nicht bekommt. Sowas blödes aber auch. So einen Fall hatten wir bislang noch nie.... :(

Hallo, ich habe ein Konfigurationsproblem, für das mir keine richtige Lösung einfällt. Wir haben Laptops gekauft, die dummerweise und nicht erwartet ein sehr einfaches Standard-BIOS haben. Weder das LAN noch das WLAN kann man darüber abschalten. Genau das ist aber mitunter erforderlich, da diese Geräte mitunter für Prozesse genutzt werden müssen, bei denen das Unterbinden einer Netzwerkverbindung erforderlich ist. In DIESEN Fällen aber muss auch ein für den Nutzer administrativer Zugang (nicht "Administrator") eingerichtet sein, damit sie sich selbst ggf. für besagte Prozesse entsprechend benötigte Software installieren können. Es handelt sich hierbei um Acer Nitro 5 (AN517-51-757H). Gleichwohl kann es später passieren, dass diese Laptops für eine andere Verwendung einen Internetanschluss benötigen. Geräte umtauschen geht nicht. Auf den Admin-Zugang für den Anwender verzichten geht nicht, weil es auch Software sein kann, die zB. unter Adminrechten laufen muss, weil sie beispielsweise Laufwerke generiert. Hier kann nicht alles mit dem Programm ASAP konfiguriert werden, weil für den Einsatzzweck ohne (W)LAN-Verbindung unterschiedliche Programme gebraucht werden. Gibt es vielleicht eine Software, mit der man die Einstellungen LAN/WLAN an/aus vornehmen kann, die diese Einstellungen überwacht und ggf. zurücksetzt und mittels Passwort geschützt ist? Vielleicht eine Firewall mit Passwortschutz, eine Konfigurationssoftware mit Passwortschutz, oder eine Lösung, die nicht einfach mittels "Problem beheben"-Funktion zurück zu setzen ist? Oder vielleicht denke ich zu quer und es gibt eine noch einfachere Lösung? Schonmal Dank im Voraus, Denise