Jump to content

Sicherheit in Domain möglich trotz Clients die über Wechselmedien bootbar sind?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe hier leider ein schwerwiegendes Problem,

ich fuchse mich erst langsam in die Serversache ein, aber als nächstes waren die Gruppenrichtlinien angedacht.

 

Wir haben neue Clients erhalten, aber o Graus! In denen lässt sich das Booten nicht verbieten.... Wir haben schon überlegt ein Generelles Userpasswort im Bios zu machen, so dass nur noch wir die PCs starten können...

 

Etwas verzwickt alles!

 

Ich kenne etwaige BootCDs mit denen man ganz bequem lokale Konten / SAM -Dateien knacken kann.

 

Könnte man Gruppenrichtlinienmäßig dem etwas entgegensetzen? Ich meine kann man das so definieren, dass nur noch eine Anmeldung an der Domain möglich ist. Domainkonten sollten doch gegen so Clientseitige "Boot-CD-Hack"-Versuche geschützt sein, oder? (Nein ist klar, an unsere Server kommt keiner ran, die sind in einem abgeschlossen Raum)

 

Was wäre denn ein Worst-Case-Szenario, wenn wir mit unseren *******boards das Booten nicht unterbinden können?

 

Und - vielleicht in Stichworten von Euch - was kann man dagegen mit Gruppenrichtlinien etc. machen um sich so gut es geht einmal abzusichern.

 

Vielleicht (hoffentlich) über bewerte ich derzeit auch das jeder immer von jedem Wechseldatenträger (USB-Stick/CD/Ext. Platte) booten kann.

 

VIelen DAnk für Eure Mühe schon mal im Vorraus!

Link zu diesem Kommentar

Hi,

 

du kannst bei allen mir bekannten Board BIOS Passworte vergeben, die verhindern dass dort Änderungen vorgenommen werden können. Ich würde dann per default nur das Booten von Festplatte zulassen. Gerade bei öffentlich zugänglichen PC's ist das eine absolute Pflicht.

 

Wenn dass soweit erledigt ist, würde ich auf jeden Fall alle Konten in einer extra domäne verwalten und recht strenge GPO's verteilen um z. B. das installieren von Programmen zu verhindern.

 

Was sollen die PC's denn genau machen? Sprechen wir hier von einer UNI oder so?

 

Viele Grüße

Link zu diesem Kommentar

Das Problem bei diesem Board ist, dass sich der Function Key (F12) zum aufrufen des Boot Menue nicht abschalten lässt.

 

Da hilft, so meine ich, auch kein Bios Setup Passwort gegen, sondern nur ein Start Passwort, was insofern ebenso besch*eiden* ist, weil da muss das Start Passwort ja jemandem vor Ort bekannt sein, will man nach den PC tatsächlich mal neu starten.

 

Entweder kann Dir der Support von Gigabyte ein BIOS liefern, dass die Möglichkeit der Abschaltung der Function Keys kann oder Du musst tatsächlich auf Boards ausweichen, die genau das können.

 

Oder Du musst eben die Hardware für andere Boot Medien sperren/abklemmen.

(zB CD's/Floppies kann man mit Adaptern sperren oder abklemmen/im BIOS deaktivieren, USB deaktivieren, bei Bedarf liesse sich das ja im BIOS wieder anschalten)

 

Grüsse

 

Gulp

Link zu diesem Kommentar

@Johannes:

@Gulp

 

Vielen Dank für eure Antwort,

ja genau das dachte ich ja auch immer.

 

Ich habe gerade mit der Hotline gesprochen, mir wurde bestätigt, dass man das F12-Booten auch bei ausgeschalteten Devices (!) nicht deaktivieren kann.

 

 

Update: RMA Post Pending, ich soll nun in 48 Stunden eine Antwort aus Taiwan erhalten. Man könne theoretisch ein Bios Umschreiben.

 

... ich hoffe, bete!

 

Ob die das tun: das weiß wohl keiner; krass dass die Boards heutzutag ab Werk derart wenig Sicherheit bieten...

 

@Others: falls es nicht klappt, kann hier jemand die Sprache (Maschinencode, Assembler?) um so etwas umzuschreiben?

 

Ich habe gelesen man kann Award-Bios mit Modbin ändern:

Versteckte Optionen freischalten - BIOS - BIOS - Tools › PC Professionell › Tipps › Professional Computing

 

Aber ob es das Wert ist, ich glaube man verliert dann auch Garantie

 

@Gulp: Geräte abschalten - das ist die letzte Methode, du hast aber recht.

Biospasswort ist halt viel Arbeit, weil dann die Mitarbeiter morgens beim Hochfahren immer das Passwort eintippen müssen, aber du hast recht: daran hatte ich leider auch schon gedacht.

 

Grüße. DK

Link zu diesem Kommentar

@Johannes:

 

Sofern man dann tatsächlich alle relevante Hardware physikalisch abklemmen kann (bei USB sehe ich da ein wenig schwarz) wäre das eine Option, man müsste "nur" im Fall der Fälle die Teile wieder anklemmen.

 

Deaktiviert man die Hardware im BIOS und der Function Key kann auch einen BIOS Override nutzt das Abschalten per BIOS herzlich wenig, denn der Override aktiviert das was er braucht.

 

Sofern das BIOS von Gigabyte "gemoddet" wird sehe ich kein Problem, da bleibt erfahrungsgemäss (zumindest üblicherweise - sollte man dann aber explizit nachfragen) sogar die Garantie erhalten.

 

Bei irgendwelchen gemoddeten BIOSen aus dem Internet sollte man vorsichtig sein (auch wenn ich selber privat ein gemoddetes BIOS auf meinem A8R32-MVP Deluxe einsetze - der Mod beinhaltet aber lediglich die aktuelle Firmware der beiden verbauten RAID/S-ATA Controller - ansonsten entspricht das BIOS dem aktuellen Stand von ASUS) und zumindest entweder einen Ersatz BIOS Chip parat haben, wenn das BIOS gesockelt ist, wissen was man tut und wie man einen abgek*ckten Flash "repariert" oder aber am Besten gleich die Finger davon lassen (das muss aber jeder für sich entscheiden, wer Geld genug hat .... aber lassen wir das).

 

@dankon7goo:

 

Es gibt so ziemlich für jedes BIOS einen Weg es zu modden, entweder über entsprechende Hardware oder aber über Software wie das genannte Modbin. Theoretisch lassen sich alle möglichen "Erweiterungen" und Funktionen nachrüsten, praktisch ist das schon eher eine Lebensaufgabe, denn nicht jedes Board mit gleichem Chipsatz kann auch alles Machbare. Da sich auch noch die Revisionen der Boards täglich ändern können, ist so ein gemoddetes BIOS schnell ein Schuss nach hinten und legt einem das ganze Board lahm, dumm nur, dass dann auch noch die Garantie flöten geht und man sich dann ein neues Board kaufen darf.

 

Anders sieht die Sache bei speziellen BIOSen aus die vom Support des Herstellers in einem RMA Fall herausgegeben werden, hier wird ja speziell für das entsprechende Board eine Option geändert/hinzugefügt/entfernt oder fehlerbereinigt. Da droht letztendlich "nur" die übliche Gefahr beim Flashen ....

 

Sofern Gigabyte Dir Deinen Wunsch erfüllen kann, würde ich persönlich es mit dem geänderten BIOS versuchen.

 

Grüsse

 

Gulp

Link zu diesem Kommentar

@Odog: Genau das habe ich ja probiert, ohne Erfolg leider!

 

@Gulp: danke für diese interessante Abhandlung, ich werde es dann doch lieber lassen, es sind ja schließlich nicht meine Computer. Und ich habe auch keine Lust unbezahlte Überstunden zu machen, falls ich da am Bios irgendwas schrotte.

 

Ja da bleibt mir nur auf den Support von Gigabyte zu hoffen, wenn die das machen wäre schon spitze, der Aufwand dürfte für die ja verhältnismäßig gering sein.

 

THX an Euch alle, wie immer spitzenmaessig frequentiert das Board hier.

Link zu diesem Kommentar

 

Ob die das tun: das weiß wohl keiner; krass dass die Boards heutzutag ab Werk derart wenig Sicherheit bieten...

 

 

Noch ein Satz dazu, das genannte Board ist ein Consumer Produkt, daher bietet es eben keine Funktionen, die im Geschäftsumfeld fast schon üblich sind. Mein privates ASUS Board kann die Function Keys abschalten, mein beruflich genutzter DELL ebenfalls, ich habe aber auch PC's hier zuhause, die das nicht können (und es auch nicht unbedingt können müssen).

 

Es empfiehlt sich immer im Firmenumfeld auf Hardware von Markenherstellern zu setzen und da sollte es dann auch nicht unbedingt deren Hardware für den Privatanwender sein, denn die speziell für Firmen zugeschnittenen PC's können das was Du hier willst.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...