DenisevanHoorn 0 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 (bearbeitet) Hallo, ich habe ein Konfigurationsproblem, für das mir keine richtige Lösung einfällt. Wir haben Laptops gekauft, die dummerweise und nicht erwartet ein sehr einfaches Standard-BIOS haben. Weder das LAN noch das WLAN kann man darüber abschalten. Genau das ist aber mitunter erforderlich, da diese Geräte mitunter für Prozesse genutzt werden müssen, bei denen das Unterbinden einer Netzwerkverbindung erforderlich ist. In DIESEN Fällen aber muss auch ein für den Nutzer administrativer Zugang (nicht "Administrator") eingerichtet sein, damit sie sich selbst ggf. für besagte Prozesse entsprechend benötigte Software installieren können. Es handelt sich hierbei um Acer Nitro 5 (AN517-51-757H). Gleichwohl kann es später passieren, dass diese Laptops für eine andere Verwendung einen Internetanschluss benötigen. Geräte umtauschen geht nicht. Auf den Admin-Zugang für den Anwender verzichten geht nicht, weil es auch Software sein kann, die zB. unter Adminrechten laufen muss, weil sie beispielsweise Laufwerke generiert. Hier kann nicht alles mit dem Programm ASAP konfiguriert werden, weil für den Einsatzzweck ohne (W)LAN-Verbindung unterschiedliche Programme gebraucht werden. Gibt es vielleicht eine Software, mit der man die Einstellungen LAN/WLAN an/aus vornehmen kann, die diese Einstellungen überwacht und ggf. zurücksetzt und mittels Passwort geschützt ist? Vielleicht eine Firewall mit Passwortschutz, eine Konfigurationssoftware mit Passwortschutz, oder eine Lösung, die nicht einfach mittels "Problem beheben"-Funktion zurück zu setzen ist? Oder vielleicht denke ich zu quer und es gibt eine noch einfachere Lösung? Schonmal Dank im Voraus, Denise bearbeitet 5. November 2019 von DenisevanHoorn Ergänzung Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 Moin Wurde schon mit dem Support von Acer Kontakt aufgenommen? Gibt es bei Acer ein neueres BIOS? Zitieren Link zu diesem Kommentar
Gulp 251 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 (bearbeitet) Acer Nitro 5 sind Gaming Notebooks und eben keine Business Geräte bei denen solche Funktionen durchaus standardmässig im BIOS möglich sind. Da beim Gaming eher kaum bis nie die Anforderung besteht LAN und/oder WLAN per BIOS abschalten zu können (meist will/muss man fürs Gaming ja dauerhaft online sein - da hilft es beim erwarteten Klientel ungemein im Support der Geräte ja erst gar keine Abschaltung im BIOS anzubieten) wird Acer da wohl auch eher nie ein BIOS mit entsprechenden Funktionen herausbringen und bei Anfrage auf seine Business Notebooks mit entsprechenden Funktionen verweisen. Ob es da Software für gibt ist bei vorliegenden Adminrechten der Anwender ohnehin Makulatur, die Anwender können sich mit Adminrechten immer, wenn auch nicht immer auf einfachem Wege, Zugriff auf die entsprechenden Konfigurationen verschaffen. Grüsse Gulp bearbeitet 5. November 2019 von Gulp Typo Zitieren Link zu diesem Kommentar
DenisevanHoorn 0 Geschrieben 5. November 2019 Autor Melden Teilen Geschrieben 5. November 2019 vor 15 Minuten schrieb lefg: Moin Wurde schon mit dem Support von Acer Kontakt aufgenommen? Gibt es bei Acer ein neueres BIOS? Danke Euch beiden für Eure Reaktion. @lefg Ja, habe ich. Aber wie Gulp schon richtig schrieb: es gibt kein anderes BIOS dafür. Ist auch schon das neueste drauf. @Gulp Deshalb ja meine Frage, ob es eine Configsoftware, Firewall, oder ähnliches gibt, die Änderungen nur mit einem Passwort zulassen, das dann der Benutzer"admin" nicht bekommt. Sowas blödes aber auch. So einen Fall hatten wir bislang noch nie.... :( Zitieren Link zu diesem Kommentar
Gulp 251 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 Tja Admin ist halt Admin ....... Grüsse Gulp Zitieren Link zu diesem Kommentar
DenisevanHoorn 0 Geschrieben 5. November 2019 Autor Melden Teilen Geschrieben 5. November 2019 :) Nee... das ist zu einfach. Auf unseren Dienst-PCs haben wir eine Antivirensoftware. Und obwohl ich Admin bin, könnte ich die nur nach vorheriger Eingabe eines Passwortes abschalten. ;) Zitieren Link zu diesem Kommentar
Gulp 251 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 (bearbeitet) Ist es nicht, da musst Du meist "nur" wissen in welcher ini oder welchem Reg Key der Passwort Hash liegt und gegen einen Dir bekannten Hash austauschen oder brachial die Dienste in der Registry beackern ...... alles das kann der Admin, der User nicht ..... Grüsse Gulp bearbeitet 5. November 2019 von Gulp Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 (bearbeitet) Mittlerweile lässt sich sehr vieles mit Powershell scripten. Also auch deaktivieren und aktivieren der Netzadapter. Ohne grossartige Krücken wie früher. Da kannst ein paar Scripts schreiben für die jeweiligen Situationen welche das System so einstellen wie für die Situation gewünscht. Bezüglich Admin-Rechte: Wenn es um Dinge geht die Wiederkehrend sind, mache ich das immer mit Scripten die per Task aufgerufen werden. Die notwendigen Rechte hat der Task, derjenige welcher auf Ausführen drückt oder mit einem anderen Script das ausführen anstösst, muss diese aber nicht haben. Der muss nur den Task ausführen dürfen. Dann gibt es natürlich noch die Möglichkeit selber Dienste oder Programme zu programmieren welche die jeweilige Funktionalität haben. Oft ist das aber etwas Overkill. So bekommt man fast alles ohne Admin-Recht der Benutzer hin. Selbst auf Maschinen der Admins. Zu guter letzt kann man natürlich gewisse Rechte auch den Admins entziehen. Das ist zwar für jemanden der wirklich Zugriff will kein so grosses Hinderniss, aber mühsamer wird es. Die Änderungs-Rechte kann man dann wahlweise auf System oder TrustedInstaller (mühsam den zu kapern) schieben. Ist aber eher als zusätzliche Hürde für Malware von aussen als wirklich von innen. Weil die gehen meist von Standard-Situationen aus. Nützt ntürlich alles nichts bei einem gezielten Angriff. ;) bearbeitet 5. November 2019 von Weingeist 1 Zitieren Link zu diesem Kommentar
DenisevanHoorn 0 Geschrieben 5. November 2019 Autor Melden Teilen Geschrieben 5. November 2019 @Gulp Klar, keine Frage. Hier sind wir dann wohl eher im Modus "Security By Obscurity", wie der Stellenwert dieser Sicherheit einzustufen ist, wissen wir alle. Aber diese Hürden des "nur mal eben einen Hashwert austauschen" sind ja schon recht hoch. Eine solche Manipulation ist nachvollziehbar (oder protokollierbar) und dann gibts eine Abmahnung. Kommt es dann zu einem Abfluss interner Daten ins Netz, sind die Folgen für den Täter auch finanziell unabsehbar. Es geht wirklich darum Hürden zu schaffen, die - sag ich mal - mit der entsprechenden "kriminellen Energie" überwunden werden. @Weingeist Mit Powershell-Scripten habe ich es versucht. Ein unwissender Anwender hat bei einem Test lediglich die "Problembehandlung" gestartet und war nach 2 Minuten im Netz (verdammt... :( ) Und leider sind diese Dinge nicht unbedingt wiederkehrend. Es geht um Auswertung und Analyse verschiedenster Datenbestände. Und da kommen wir nicht um die maximale Flexibilität herum. Und selbst programmieren ist leider keine Option, aus vielen Gründen. Ich suche inzwischen ja weiter und habe da noch verschiedene Ansätze. Mit einer Firewall habe ich schon den Effekt, dass ich den Netzwerktraffick blocken kann und kein Datenverkehr mehr stattfindet. Aber die kann ich nicht mit einem Passwort sperren. Aber die Liste der angebotenen Firewalls ist lang und reduziert sich nur durch die, deren Webseiten mittlerweile nicht mehr existieren. Da lauert wohl noch eine Menge Arbeit und probieren. Zitieren Link zu diesem Kommentar
Gulp 251 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 Wobei es aus meiner Erfahrung letztlich meist dann doch günstiger ist, auch nachträglich, in die für die Anforderung passende Hardware zu investieren ........ Grüsse Gulp Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 (bearbeitet) Also ich habe es noch nie erlebt, dass man den Usern den Admin für die tägliche Arbeit nicht abgewöhnen konnte. ;) Problemlösung durch Windows: Dann schaltet man eben den ganzen Diagnose-Krempel auch komplett ab. Ohne Adminrechte ist der dann auch nicht mehr einzuschalten. Dann kann man noch Proxies verbiegen damit keine Kommunikation nach aussen möglich ist, Windows Firewall konfigurieren und und und. Firewall von Windows kann man z.B. auch konfigurieren für Standard-Block-Out und alles selber Regeln erstellen. Braucht einfach Zeit. Auch dem Admin die Rechte entziehen kann man in den entsprechenden Reg-Hives. (er kann sie mit know How einfach wieder holen) Die Regeln einzeln aktivieren/deaktivieren kann man auch wieder Scripten. Dass Manche Prozesse/Software dann als Admin laufen kann/muss und man damit auch ausbrechen kann, steht auf einem anderen Blatt. Dann gibt es noch den Programmkompatibilitäts-Modus den man auch manuell konfigurieren kann um Software die nötigen Berechtigungen zu verschaffen. Wie gesagt, ich habe es fast noch nie erlebt, das man mit entsprechendem Aufwand die Admin-Rechte nicht direkt braucht. Es gibt der Möglichkeiten viele, aber um das beurteilen zu können was sinnvoll ist, muss man die Prozesse kennen. Daher ist eine externe Beratung von einem Spezi hier wohl sinnvoller ;) Ansonsten ist es einfach so, dass ihr das falsche Produkt gekauft habt bzw. eigentlich pro User zwei Produkte bräuchtet. Wenn ein Bereich dermassen sensibel ist, gehört das sowieso nicht auf die gleiche Maschine wie der Rest. Und schon gar nicht auf einen LapTop. Just my 2 cents. ;) bearbeitet 5. November 2019 von Weingeist 1 Zitieren Link zu diesem Kommentar
DenisevanHoorn 0 Geschrieben 5. November 2019 Autor Melden Teilen Geschrieben 5. November 2019 @Gulp: Wie ich schon eingangs schrieb: das ist nicht mehr möglich. Das hätte in einer Ausschreibung von vorneherein festgelegt sein müssen. War es leider nicht. Ganz klar: unser Fehler! @Weingeist:Hm, das sind ja schon eine Reihe von Maßnahmen, die wenn einmal ein Script geschrieben ist, dem Nutzer es schon recht schwer machen. Ich werde mir diesen Lösungsweg mal aufzeichnen und schauen, was da möglich ist. Wenn man so ein Script erstmal fertig hat, ist es ja ein Klacks das auf den anderen Laptops (insgesamt 20) zu übertragen. Wir gehen hier gerade das Problem durch, da fließen Eure Vorschläge natürlich mit ein. Zitieren Link zu diesem Kommentar
Gulp 251 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 Möglichkeiten gibt es immer, ob man dann daran noch verdient ist freilich eine andere Frage ....... die Frage bleibt aber dann auch was es kostet die Scripte zu erstellen, zu warten (was wenn sich die Windows Edition ändert, ein Funktionsupdate kommt, ein LAN/WLAN Treiberupdate kommt, etc) und abzusichern. Aber das müsst Ihr ja selbst wissen, bzw könnt das auch sicher besser abschätzen als ich, da fehlen mir sicher die ganzen Details dazu ..... ich wollte es ja auch nur anmerken. Grüsse Gulp Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 (bearbeitet) Noch ein paar Ideen: Wenn WLAN nie gebraucht wird, könntest die Geräte auch aufschrauben und die Antenne oder gleich das ganz Modul entfernen. Zumindest wens nicht verklebt/verlötet ist. Da hängt meist Bluetooth noch mit dran. LAN kann man evtl. mit einem Schloss dauerhaft unbrauchbar machen (keine Ahnung obs sowas gibt) oder mit Kunstharz vergiessen, was dann endgültig und eher wenig sinnvoll ist. Gleiches wäre dann übrigens für die USB-Anschlüsse sinnvoll, wenn das in Frage kommt. Da ist das kopieren von Daten am einfachsten auch wenn es erschwerbar ist mit GPO's etc. Aber auf irgend eine Variante müssen die auszuwertenden Daten ja auch auf die Kiste. Im LAN ist dies z.B. dann mit Kommunikationsbeschränkung richtung AD und Fileserver möglich. --> Windows Firewall All das erschwert aber nur den Datenklau und verhindert ihn nicht. Stichwort abfotografieren etc. bearbeitet 5. November 2019 von Weingeist Zitieren Link zu diesem Kommentar
daabm 1.334 Geschrieben 5. November 2019 Melden Teilen Geschrieben 5. November 2019 Hm - ich versuch mal zu sagen, was ich verstanden habe: Ihr wollt auf den Notebooks LAN/WLAN abschalten (im Kontext eines Users X). Gleichzeitig soll ein User Y am Gerät arbeiten, der lokaler Administrator ist. Soweit korrekt? Da würde ich spontan sagen "geht nicht". Steht ja oben schon, Admin ist Admin. Als Krücke könnte ich mir ein Skript in einem geplanten Task vorstellen. Für das Herstellen/Trennen einer Netzwerkverbindung gibt es Events, und auf Events kann man Tasks triggern. Hilft halt nicht gegen den Admin, der natürlich Tasks deaktivieren/löschen kann. Statt Task könnte es auch ein Dienst sein, aber auch da kann der Admin natürlich... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.