Jump to content

Zuverlässig LAN und WLAN abschalten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@daabm: Wir haben gestern eine Firewall ausprobiert (Comodo), die man mit Passwort schützen kann. Alle Versuche unter dem 2. Admin-Account Zugang zum Netz zu bekommen, scheiterten, weil die Firewallanwendung auch sofort Alarm schlug und den Einstellungsversuch nicht zuliess. So weit, so gut. Vollkommen b***d ist, dass Comodo weder unattended installiert werden kann, noch kann man es mittels Script steuern. Na gut, diese Kröte würden wir schlucken. Auch ZoneAlarm kann man mittels Passwort schützen. Vielleicht auch unattended installieren und per Script steuern. Das würde uns die Arbeit sehr erleichtern und die Nutzung dieser Geräte vollumfänglich möglich machen.

 

Nun sind wir sicher wieder bei "Hashcode" tauschen, Eingriff in Registry möglich usw. Aber wie ich schon eingangs schrieb: wenn eine entsprechende kriminelle Energie und das Fachwissen vorhanden ist, knack ich jedes System. Aber es geht uns darum, die Hürden so hoch wie nur möglich zu legen.

 

Alternativ fiel uns auch ein, das Betriebssystem zweimal zu installieren und in einer der beiden Installationen Manipulationen vorzunehmen, wie sie hier schon vorgeschlagen wurden (Sperren von Anwendungen, verbiegen der Namensauflösung, setzen von Policies etc.). Auch das hätte durchaus Vorteile wie Nachteile... Aufwand und Nutzen...

 

Hat jemand vielleicht noch eine bessere Alternative zu Comodo oder Zonealarm? Einstellungen müssen aber per Passwort geschützt werden können.

 

Ich möchte mich aber ganz herzlich für die vielen Vorschläge bedanken. Wir sind noch in der Entscheidungsphase und werden erst einmal zwei Geräte unterschiedlich einrichten und schauen, welches die bessere Alternative ist und die größtmögliche Flexibilität bietet.

 

Grüße,

 

Denise

Link zu diesem Kommentar

Also von irgendwelchen zusätzliche Firewalls würde ich tunlichst abraten. Das bringt in aller Regeln nur Probleme. Eher früher wie später.

Windows bringt eine excellente Filter-Engine mit. Man muss sich nur etwas einarbeiten.


Schützen kann man theoretisch die Reg-Hives wo die Firewall-Richtlinien abgelegt werden indem die Änderungsberechtigungen für Admins entzogen wird und zbsp. einer speziellen Gruppe zugewiesen wird. Da ist dann die gleiche kriminelle Energie notwendigt wie für das tauschen eines Passwort-Hashes.


Die Firewall-Polcies bfinden sich unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess

Im Subreiter Parameters>FirewallPolicy>FirewallRules liegen die benutzerdefinierten, in der GUI angezeigten Regeln

Im Subreiter Parameters>FirewallPolicy>RestrictedServices>Configurable liegen wie der Name schon sagt konfigurierbare Regeln (CMD/Powershell), sind aber in der GUI unsichtbar

Im Subreiter Parameters>FirewallPolicy>Static  liegen die die statischen Regeln, die weder per GUI noch per CMD verändert noch angezeigt werden können (Nur direkt in der Registry)

Ich meine im November Build von 2018 kam dann noch ein spezieller Subkey für APP-Container dazu. Genauer Pfad weiss ich aber nicht grad auswendig.

EDIT: Wer genug Zeit hat, kann mal spasseshalber W7/W8.1/W10 in versch. Editionen mit einander Vergleichen. Ziemlich "interessant".

 

Kommt man auf die Idee System/TI die Write-Berechtigungen zu entziehen, muss dazu gesagt werden, das W10 nicht happy damit ist wenn man System und TI die Kontrolle über diese Hives wegnimmt und z.Bsp. einer speziellen Gruppe zuweist.

Das Problem: Wenn sich ein Benutzer der noch kein Profil auf diesem Rechner hat anmeldet, schlagen die App-Installationen fehl, weil die Erstellung der Firewall-Freipässe für die Apps fehlschlagen. Das ist zwar ein äusserst wirksames und simples Mittel um sämtliche App-Installationen (Auch System-Apps) zu verhindern, allerdings hat man dann lediglich einen funktionierenden Desktop aber keine Taskleiste, Infobereich, Startmenü, Suche etc. Quasi Windows 3.11 Style =)

 

Aber wie gesagt, schaut, dass gar keine Admin-Rechte zum arbeiten notwendig sind. Windows bietet relativ viele Mittel dafür. Diese Zeit/Geld ist eigentlich sowieso immer gut investiert.

bearbeitet von Weingeist
Link zu diesem Kommentar

So, ich habe es weitgehend so gelöst, dass die Hürde nun schon recht hoch ist. Wenn's nun einer schafft, dann hat er tiefere Kenntnisse, das ist bei unseren Leuten aber nicht zu erwarten. :)

 

Wir haben Eurem Rat folgend auf die weitere Installation einer Firewall verzichtet, stattdessen Änderungen in der Registry vorgenommen. Zum einen wurden die vererbten Rechte der Schlüssel verändert, zum anderen die Gruppen "Administratoren" und "Benutzer" entfernt. Lediglich "Administrator" hat noch Zugriff auf die Schlüssel der zu startenden Treiber. Durch setzen des Wertes "4" im Schlüssel "Start" haben nun die entsprechenden Treiber alle ein Ausrufezeichen und nur "Administrator" ist in der Lage, das einfach und mittels (aktuell) einer REG-Datei zu ändern. Damit hilft auch die "Problemlösung" nicht mehr.

Dem "System" haben wir die Berechtigung noch gelassen, überlegen derzeit, ob wir diese Berechtigung auch entfernen, damit man nicht über ein anderes Tool sich Systemrechte verschaffen kann. Ggf. reichen Nur-Leserechte vielleicht auch aus.

 

Hier kommt die Batchdatei im Ganzen. Sie befindet sich noch im Entwicklungsstadium und kann bestimmt noch Verbesserungen vertragen.

 

:: Vererbungen entfernen, Berechtigungen kopieren
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c"

:: Benutzer Administrator für die Keys berechtigen
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys"

:: Benutzergruppen Administratoren und Benutzer entfernen
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl"
SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl"

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Killer Network Service" /v "Start" /t reg_dword /d "00000004" /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KillerEth" /v "Start" /t reg_dword /d "00000004" /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHUSB" /v "Start" /t reg_dword /d "00000004" /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vwifibus" /v "Start" /t reg_dword /d "00000004" /f

 

"Killer Network Service", "KillerEth", "BTHUSB" (Bluetooth), und "vwifibus" sind die Treiber für die Netzwerkkarte. Blauzahn und WiFi.

 

Für Hinweise auf Fehler, und Anregungen bin ich sehr dankbar. Ich setze das Thema auf "Gelöst" :)

 

Nochmals Dank an alle!

 

Denise

 

EDIT: Hm... ich kann es leider nicht auf "Gelöst" setzen... :(

bearbeitet von DenisevanHoorn
Nachtrag
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...