WinFuture-Forum.de: Sicheren Benutzer Für I-net - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Sicheren Benutzer Für I-net benutzer mit möglichst wenig rechten


#1 _moep_

  • Gruppe: Gäste

geschrieben 20. August 2004 - 22:32

Hallo erst mal
also ich würde mir gerne einen Benutzer einrichten der nur für das Internet gebraucht wird, ich meine damit das er surfen (in meinem Fall mit Opera falls das wichtig ist) dürfen soll und email (The Bat) abrufen und versenden und was downloaden aber sonst gar nix.
Und vielleicht noch einen zum Spielen, dem der Zugang zum Internet ausdrücklich untersagt ist.
Ich weiß das es keine 100% Sicherheit gibt und ich habe mir die Sachen (dingens.org etc.) die hier beschrieben wurden zu Herzen genommen und angewannt bzw. habe dies vor.
Diese Frage kommt daher das man immer beschreibt man soll nicht mit Adminrechten arbeiten, logisch, aber ich traue mir das konfigurieren im gpedit.msc (Sry weiß grad nicht wie der richtig heißt) nicht zu bzw. bei einem versuch meinen rechner zu konfigurieren ging nix mehr und ein benutzer darf noch zu viel (bsp.:Task manager)
Also bitte ich euch jetzt freundlichst um Hilfe, da Rika immer wieder auf das arbeiten mit Benutzerrechen hinweißt, würde ich mich grade auf eine antwort von ihm freuen (selbstverständlich auch auf jede andere) und vielleicht wenn er viel Zeit hat könnte er ein howto schreiben (bitte das ist nur eine Frage und auf gar keinen Aufforderung).

Falls es so rüberkommen sollte, dass das Howto nach genau meine vorstellungen zu erstellen ist, muss ich mich dafür entschuldigen den es sollte nur in etwa in meine richtung gehen ich hoffe man versteht mich.

Dieser Beitrag wurde von moep bearbeitet: 20. August 2004 - 22:44

0

Anzeige



#2 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 21. August 2004 - 01:47

1. das Standard-Template "eingeschränkter Benutzer" ist recht brauchbar
2. Lokale Sicherheitsrichtlinein, Richtlinien für Softwareineschränkungen - Programme, die man nicht ausführen kann, können erst recht nicht auf's Netz zugreifen.
3. auch für Netzwerkverbindungen kann man Zugriffsberechtigungen setzen...

Dieser Beitrag wurde von Rika bearbeitet: 27. August 2004 - 20:43

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#3 _moep_

  • Gruppe: Gäste

geschrieben 27. August 2004 - 19:57

@Rika Danke erstmal ich werde 2 und 3 wohl erstmal ausprobieren.

@ All Für weitere Antworten wär ich trotzdem sehr dankbar.

Gut nun hätte ich doch noch ein paar Frage:
1.Wenn man den eingeschränkter Benutzer wällt um ins Internet zu gehen wie weit darf er auf die Registry zugreifen. Ich gehe mal davon aus das er nur auf HKEY_Current_User zugreifen darf.

2.Ist die Benutzerverwaltung von Windows eigentlich sicher?
Oder wurde auch sie von viren schon ausgehebelt.

3.Es wird ja oft beschrieben wie man die DEP vom SP2 enfernt.
Warum bringt sie den gar nichts?

4.Genau das gleiche Spiel mit den begrenzten Verbindungen (weiß grad nicht genau wie es heißt) sind die auch unnütze? Ich fand die letzten beiden eigentlich eine gute Idee. :-(

Edit:Ach falls die Sachen schon mal gefragt wurden ignoriert diese Fragen einfach.

Dieser Beitrag wurde von moep bearbeitet: 27. August 2004 - 21:21

0

#4 _moep_

  • Gruppe: Gäste

geschrieben 30. August 2004 - 20:08

Ok klein moep braucht Hilfe.
Ich bekomme das mit 2. und 3. einfach nicht hin ich weiß einerseits nicht wie man Software für bestimmte User unzugänglich macht und für andere die Internetverbindung.
Aber das mit eingeschränkten rechten hab ich schon.*Stolz*
Und zu den meisten weiteren Frage habe ich auch noch keine Antwort gefunden. *faulsei*
Also falls sich jemand die Mühe machen will/möchte mir zu helfen, würde mich das sehr freuen.
0

#5 Mitglied ist offline   Imperator 

  • Gruppe: aktive Mitglieder
  • Beiträge: 736
  • Beigetreten: 17. November 03
  • Reputation: 0
  • Interessen:Alles was mit Computer zu tun hat.

geschrieben 30. August 2004 - 20:40

Ich habe mal ein Frage wie kanne ich einen Benutzer die Rechte wegnehmen auf die regedit zugreifen und auf bestimmte Programme. Noch eins wie kann ich ihn verbitten über den Internet Explorer Daten runterzuladen und das Recht wegnehmen das Laufwerk zubenutzen?
0

#6 _moep_

  • Gruppe: Gäste

geschrieben 30. August 2004 - 21:36

zu 1. genau das will ich die ganze Zeit wissen, ich glaub zumindestens das du dasselbe meinst, aber du schreibst etwas ...
Falls das jetzt blöd rüber kam tut es mir leid mich ärgert es nur das keiner antwortet und dann kamst du also entschuldigung
Aber weiß den hier kein schwein beschied ich stell mich vielleicht blöd an aber dann sagt mir das

Dieser Beitrag wurde von moep bearbeitet: 30. August 2004 - 22:24

0

#7 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 31. August 2004 - 01:58

1.1. Er kann auf alles zugreifen auf das er Zugriffsrechte hat. Das sind neben HKCU auch noch lesende Zugriffe auf einige sinnvolle Keys in HKLM und HKC, die in der Lokalen Sicherheitsrichtlinie definiert sind.
1.2. Eigentlich ja. Stichwort: Lokale Root-Exploits. Da die Mehrzahl der User eh mit Adminrechten durch die Gegend stirbt und sich daher nur von Remote-Exploits bedroht fühlt werden lokale Sicherheitslücken meist nur in Service Packs gefixt. IMHO gibt es allerhöchstens noch zwei bekannte ungefixte Lücken, aber die sind schwierig auszunutzen.
1.3. Verstehe ich auch nicht. Naja, ich selber halte sie für eine barbarische Vergewaltigung der Grundideen der von-Neumann-Architektur.
1.4. Ja, die sind wirklich einfach nur lästig.

2.1. Das Ding funktioniert nur dann zuverlässig wenn du per Default alles verbietest und nur einzelne Sachen freischaltest. Andersherum braucht man nur das Programm zu verändern oder zu verschieben...
2.2. Das geht direkt nur mit RAS-Verbindungen in der RAS-Verwaltung. Für andere Verbindungen musst du ein separates Hardware-Profil ohne die Netzwerkkarte anlegen und den Usern den Zugriff auf das originale Profil verweigern. Unter WinXP könntest du noch die IVFW zur Hand nehmen.

@Imperator:

1. Rechtsklick auf den Schlüssel, Berechtigungen...
2. Softwarerestriktionen setzen und/oder Zugriffsrechte setzen
3. Zugriff auf den IE sperren oder in den Optionen den Download für jede Zone verbieten und Zugriff auf die Optionen sperren
4. Zugriffsrechte setzen oder den Zugriff auf die Treiberdateien sperren (damit keine USB-Sticks mehr gemountet werden können)

Dieser Beitrag wurde von Rika bearbeitet: 31. August 2004 - 13:47

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#8 Mitglied ist offline   Imperator 

  • Gruppe: aktive Mitglieder
  • Beiträge: 736
  • Beigetreten: 17. November 03
  • Reputation: 0
  • Interessen:Alles was mit Computer zu tun hat.

geschrieben 31. August 2004 - 09:13

Zitat (Rika: 31.08.2004, 02:58)

@Imperator:

1. Rechtsklick auf den Schlüssel, Berechtigungen...
2. Softwarerestriktionen setzen und/oder Zugriffsrechte setzen
3. Zugriff auf den IE sperren oder in den Optionen den Download für jede Zone verbieten und Zugriff auf die Optionen sperren
4. Zugriffsrechte setzen oder den Zugriff auf die Treiberdateien sperren (damit keine USB-Sticks mehr gemountet werden können)

Kannst du mir sagen, welchen Schlüssel das ist mit der Berechtigungen macht? Und wie kann ich das mit dem Softwarerestriktionen machen? Wie kann das mit Treiberdateinen sperren?

Nachtrage: Wie kann das unterbinden, dass man von Internen Explorer durch kopieren des kompleten Link was downloaden können?

Dieser Beitrag wurde von Imperator bearbeitet: 31. August 2004 - 09:16

0

#9 _moep_

  • Gruppe: Gäste

geschrieben 31. August 2004 - 13:42

@rika
zu 1.1.: Ok versteh ich Leserechte für HKLM und HKC sind wahrscheinlich wichtig für das System und ein paar Programme also lass ich da alles in Ruhe.
zu 1.2 weiß zwar nicht was Remote-exploit sind, aber du meinst, dass sich die meisten Viren auf Adminrechte spezialisieren und nicht auf das umgehen dieser Rechte, ausgerichtet sind?
zu 1.3 + 1.4.: Also beides weglassen diese Funktionen bringen sowie so nix, ok? (nur was ist den die Neumann-Architektur? Redewendung?)
zu 2.2.: Wo steht denn ob ich eine RAS-Verbindung habe? Also wenn ich eine hätte wüsste ich ja wahrschienlich auch was das ist, weswegen sich die Frage schon fast erübrigt, oder?

Aber schon mal vielen dank für die Hilfe, ich glaub ich muss auf dem Gebiet noch sehr viel lernen.

Dieser Beitrag wurde von moep bearbeitet: 31. August 2004 - 13:47

0

#10 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 31. August 2004 - 14:06

@Imperator:

1. Nein, es geht darum die Berechtigungen für den Zugriff auf Registry-Schlüssel zu vergeben, weil man auch ohne regedit die Shclüssel auslesen kann.
2. Systemsteuerung, Verwaltung, Lokale Sicherheitsrichtlinie, Richtlinien für Softwareinschränkung. Aktion > Neue Richtlinie für Softwareeinschränkungen erstellen. Sicherheitsstufen > Nicht erlaubt, Als Standard
3. Google existiert: http://www.gruppenrichtlinien.de/HowTo/usb...eaktivieren.htm
4. Gar nicht. Verbiete den IE und sämtliche Software oder noch besser den Zugriff auf's Netzwerk, wenn du das nicht möchtest.

@moep:
2. Remote-Exploits sind halt Fehler, die sich per Netzwerk ohne Zugriffsberechtigungen ausnutzen lassen. Man erinnere sich an Blaster, Sasser und SQL.Slammer. Und nein, Trojaner sind spezialisert auf Root-Exploits, eben um sihc höhere Berechtigungen zu verschaffen (für nix anderes sind Root-Exploits gut).
3. Lass doch DEP an, wenn's nicht stört. Wie ich schon sagte gibt es auch legitime Anwendungen für Umwandlung von Daten in Code, z.B. dynamischen Code, wie er in VirtualDub oder Quake seit Patch 1.15 verwendet wird um ordentlich Performance zu schinden. Zwar bietet Microsoft auch ein DEP-kompatibles Interface (VirtualMemAlloc(..., ... || F_CODE)), aber das ist so unnütze daß es kaum ein Programm verwendet.
4. RAS = DFÜ und PPTP-VPN.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#11 Mitglied ist offline   Imperator 

  • Gruppe: aktive Mitglieder
  • Beiträge: 736
  • Beigetreten: 17. November 03
  • Reputation: 0
  • Interessen:Alles was mit Computer zu tun hat.

geschrieben 31. August 2004 - 15:34

Zitat (Rika: 31.08.2004, 15:06)

@Imperator:

1. Nein, es geht darum die Berechtigungen für den Zugriff auf Registry-Schlüssel zu vergeben, weil man auch ohne regedit die Shclüssel auslesen kann.
2. Systemsteuerung, Verwaltung, Lokale Sicherheitsrichtlinie, Richtlinien für Softwareinschränkung. Aktion > Neue Richtlinie für Softwareeinschränkungen erstellen. Sicherheitsstufen > Nicht erlaubt, Als Standard
3. Google existiert: http://www.gruppenrichtlinien.de/HowTo/usb...eaktivieren.htm
4. Gar nicht. Verbiete den IE und sämtliche Software oder noch besser den Zugriff auf's Netzwerk, wenn du das nicht möchtest.

Danke Rika, aber manchmal sieht man die Richtige Seite vor lauter Seiten nicht.
0

#12 _moep_

  • Gruppe: Gäste

geschrieben 01. September 2004 - 14:25

Zitat (Rika: 31.08.2004, 02:58)

2.2. Das geht direkt nur mit RAS-Verbindungen in der RAS-Verwaltung. Für andere Verbindungen musst du ein separates Hardware-Profil ohne die Netzwerkkarte anlegen und den Usern den Zugriff auf das originale Profil verweigern. Unter WinXP könntest du noch die IVFW zur Hand nehmen.

1.Leider hab ich dazu noch ne frage also Hardwareprofile mache ich in den Systemeigenschaften!?
Muss ich zuvor einfach die Lanverbindung deaktivieren oder muss ich die Netzwerkkarte dazu raus nehmen (zitat: "ohne netzwerkkarte")?
Wäre schlecht weil ich eine onboard habe.
Und wie verhindere ich das der eine diese eigenschaften änder kann?
Schließlich soll der normale user ja mit adminrechten(oder hauptbenutzerrechten) arbeiten und ein wurm könnte die einstellungen mit diesen rechten ja änder oder gibts solche bösewicht noch nicht?
Für den anderen soll diese Einschränkung aber nicht sein (logisch da er ja sonst nicht in i-net kommt) also kann man die hardware profile für bestimmte user einstellen?


Zitat (Rika: 31.08.2004, 15:06)

3.Lass doch DEP an, wenn's nicht stört. Wie ich schon sagte gibt es auch legitime Anwendungen für Umwandlung von Daten in Code, z.B. dynamischen Code, wie er in VirtualDub oder Quake seit Patch 1.15 verwendet wird um ordentlich Performance zu schinden. Zwar bietet Microsoft auch ein DEP-kompatibles Interface (VirtualMemAlloc(..., ... || F_CODE)), aber das ist so unnütze daß es kaum ein Programm verwendet.

2.Nö DEP stört mich kein bisschen wie gesagt kam mir nur komisch vor das es jeder deaktiviert.

Dieser Beitrag wurde von moep bearbeitet: 01. September 2004 - 15:16

0

#13 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 01. September 2004 - 15:41

1. Nein, du musst die Netzwerkarte im Gerätemanager deaktivieren oder deinstallieren.
2. Nur Admins können diese Einstellungen ändern. Nur Admins können mit einem anderen als dem Standardprofil booten.
3. Mehr als eingeschränkte Benutzerrechte sollte niemand haben. Schon allein Hauptbenutzer sind zu mächtig.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#14 _moep_

  • Gruppe: Gäste

geschrieben 02. September 2004 - 15:53

@rika vielen vielen dank für die hilfe ich hoffe das sich jetzt erst mal für die nächsten paar wochen keine weiteren fragen ergeben :veryangry:
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0