[dante]

Hallo!

Ist es möglich, einem Benutzer in WinXP das Internet zu verbieten (z.B. durch deaktivieren der Netzwerkkarte)? Gehe mit einem fli4l-Router ins Netz.

Danke

dante

[Rika]

Nein, nicht direkt. Du kannst ihm aber das Starten sämtlicher Programme verbieten, mit Ausnahmen, und dann auch nur unmodifizierte Versionen.

[dante]

Wie kann ich das denn anstellen? Ich möchte nämlich ein Online-Konto eröffnen, auf das nur von mir erwünschte Programme Zugriff haben, und ein normales Benutzerkonto, welches gar kein Online-Zugriff hat.

dante

[Rika]

Lokale Sicherheitsrichtlinie, Richtlinien für Softwareeinschränkungen

[dante]

Hab leider nur Home-Edition. Benutze die Fajo-Extension, damit kann Dateirichtlinien erstellen. Aber wie kann ich Software-Einschränkungen bewerkstelligen? Soll ich etwa den entspr. Programmordner für den Benutzer sperren?

dante

[Rika]

Zitat

Hab leider nur Home-Edition.

Start, Ausführen, gpedit.msc, Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien für Softwareinschränkung

Zitat

Benutze die Fajo-Extension, damit kann Dateirichtlinien erstellen. Aber wie kann ich Software-Einschränkungen bewerkstelligen? Soll ich etwa den entspr. Programmordner für den Benutzer sperren?

Nein. Konkret kannst du zwar überall das Recht zum Ausführen von Programmen entfernen, das hindert den Benutzer aber nicht daran, ein neues Programm zu erstellen bzw. von irgendwoher zu kopieren und sich daran Ausführen-Rechte zu geben.

Deshalb gibt's seit WinXP ja die Software Restriction Policies.

Mit denen legt man fest, daß nur 1. Programme 2. in einem bestimmten Pfade 3. mit einer definierten MD5-Prüfsumme ausgeführt werden dürfen und sonst gar nix. Allerdings sollte unter den erlaubten Programmen keines sein, welches andere Programme mit User32::LoadLibraryEx() nachladen kann (also ist beispielsweise MS Office in solchen geschützten Umgebungen tabu). Zudem gibt es, wenn man die Policies auf den Admin selbst anwendet, auch eine Default-Ausnahmeliste, damit Windows überhaupt noch booten kann.

[dante]

Schön wärs, aber gpedit.msc gibts nur in der Prof-Version (habs auf 3 Home-Rechner ausprobiert) Dürfte die Angelegenheit nicht gerade erleichtern.

dante

[Nick_Speed]

Du koenntest auch den Internetzugang einschraenken. Ich weiss zwar nicht wie faehig fli4l ist, aber mit iptables, Zwangsproxy und Benutzerauth am Proxy kannst Du sehr feine Benutzerechte im Hinblick auf den Internetzugang setzen. Da es sich ja sicherlich nur um einen Clientrechner handelt, auf dem die beiden Konten koexistieren, musst Du den zusaetzlichen "Umweg" ueber den Proxy nutzen, da der Rechner ja immer die selbe IP hat. D. h. aber auch, dass dementsprechend alle Programme, die Internetzugriff erhalten sollen, Proxyunterstuetzung mit auth beherrschen muessen.

[puppet]

Ich habe damals von BlueDarknezz gpedit für WinXP Home erhalten, hatte aber noch keine Möglichkeit dies zu testen, vielleicht willst du Tester spielen?

Dieser Beitrag wurde von puppet bearbeitet: 26. April 2005 - 21:46

[dante]

Wäre das eigentlich nicht illegal, da ich ja Teile von WinXP Prof verwende? Andererseits kann ich MS auch nicht ganz verstehen, Funktionen, die zur Sicherheit beitragen, wegzulassen

dante

[Murmel]

Probiers mal damit.
Im NTSP6 gibt es zwei Tools, Winfile.exe und musrmgr.exe. Mit Winfile.exe kann man unter XPHome die Sicherheitseinstellungen ändern und mit musrmgr.exe die Benutzerkonten bearbeiten. Dann gibt es noch das Tool Poledit.exe, mit dem man Richtlinien für Benutzer oder Computer erstellen kann, was dann in etwa dem gpedit.msc entspricht. Interessant wäre noch das Tool shrpubw.exe mit welchem man für Ordner oder Laufwerke den Zugriff definieren kann. Einfach die Dateien nach C:\Windows\system32 kopieren, Verknüpfungen im Startmenü anlegen fertig.

Windows NTSP6

[Rika]

Zitat

Dann gibt es noch das Tool Poledit.exe, mit dem man Richtlinien für Benutzer oder Computer erstellen kann, was dann in etwa dem gpedit.msc entspricht.

Nein. Win32-Shell-Policies und Group Policies sind zwei Paar Schuhe.

[puppet]

Ich gehe mal davon das die User, die keinen LAN/Inet Zugriff haben sollen auch eingeschränkte Rechte haben, und die User die es dürfen haben Admin Rechte?
Wenn ja kannst du einfach ein Logon und Logout Skript für die Admin User anlegen.
Erstmal mit devcon find =net rausfinden wie die InstanceID der Netzwerkkarte/LAN Verbindung ist,
dann im Logout-Skript der Admin User einfach devcon disable @[InstanceID], und im Login Skript eben devcon enable @[InstanceID].
Somit sind bei den eingeschränkten Usern die NIC's deaktiviert und somit auch die dazugehörige LAN Verbindung, und da sie ja keine Rechte haben Geräte zu starten oder zu beenden dürfte es schwer werden die Verbindung wieder zu aktivieren.
Achte darauf Sonderzeichen (wie z.B. &) zu escapen, sonst wird das nichts (z.B wird aus PCI\VEN_8086&DEV_1019&SUBSYS_10191458&REV_00\4&2D894BD&0&0818 dann PCI\VEN_8086^&DEV_1019^&SUBSYS_10191458^&REV_00\4^&2D894BD^&0^&0818).

Dieser Beitrag wurde von puppet bearbeitet: 02. Mai 2005 - 00:00

[Rika]

Und was hält sie davon ab, das Login-Skript zu umgehen?

[puppet]

Die restricted User bekommen doch gar kein Login Skript, sondern nur die Admin-User
Und wenn die Admin User das Skript umgehen müssen sie eben selbst die Verbindung aktivieren und deaktivieren.

Ziel war es die Verbindung default zu deaktivieren und bei den Admins beim Login zu aktivieren und beim Logout wieder zu deaktivieren.

Dieser Beitrag wurde von puppet bearbeitet: 28. April 2005 - 00:44