94330
Feb 04, 2011, updated at 13:58:25 (UTC)
10065
10
0
SiteKiosk Schutz optimierbar?
Hey
Einigen von euch ist bestimmt das Programm "SiteKiosk" bekannt...
...wir haben schon seit geraumer Zeit einen PC, der durch dieses Programm so beschränkt werden sollte, dass User keine Chance mehr erhalten, in unserem Firmennetzwerk an dem der PC angeschlossen ist, irgendetwas zu zerstören. Vielleicht kennen sich einige etwas besser damit aus als ich...ich schreibe euch mal auf was ich bisher alles gemacht habe.
1. SiteKiosk umgeht die Windows-Anmeldung bzw. meldet sich als einen Benutzer an der maximale Beschränkung "geniest". Somit können die User auch falls sie es schaffen, das Passwort zu knacken womit man das Programm beenden kann nicht an höhere Rechte kommen.
2. Die User haben nur Zugriff auf einen vorher erstellten Downloadordner (herunterladen dürfen sie auch noch).
3. SiteKiosk startet mit Windows zusammen, überblendet es und lässt sich nicht ohne das oben bereits erwähnte Passwort beendet werden.
4. Die "Quickstart Message" ist deaktiviert, die Tastatur ist beim Aufstarten gesperrt und das BIOS mit einem Passwort versehen...keine chance mehr für den abgesicherten Modus.
5. Alle Aktivitäten werden in Logfiles gespeichert, diese werden nach 90 Tagen automatisch gelöscht.
6. Die User haben nur noch Zugriff auf Word, Excel, PowerPoint sowie die in Windows vorinstallierten Spiele.
7. Tastenkombinationen wie STRG+ALT+DEL, Windows+D etc. sind gesperrt.
8. Es können nur die bereits installierten ActiveX-Steuerelemente geladen werden.
9. Die Oberfläche besteht im Grunde genommen nur noch aus dem Browser, der nicht geschlossen und nicht minimiert werden kann.
10. Ebenfalls ist eine Sperre für "gewisse Typen" von Seiten eingerichtet
. Darüber muss ich aber nicht speziell berichten.
Mein grösstes Sorgenkind ist, dass ich das Ausführen von .bat,.exe usw. (ausführbaren) Dateien erlauben muss. Es sei denn ich kann beweisen, dass mithilfe solcher Dateien die Sicherung auch nur Teilweise umangen werden kann. Ist das möglich.
Ich denke ansonsten ist das höchstmögliche Mass an Sicherheit (für unser Netzwerk) bereits gewährleistet. Falls ihr aber noch bekannte Lücken beisteuern könntet, wäre ich euch Dankbar wenn ihr mir diese mitteilen könntet schließlich lernt man nie aus und wenn die in unser Netzwerk auch nur für eine Millisekunde reinschauen könnten, wäre ich so gut wie tot xDD.
Danke schon mal vornweg
1. SiteKiosk umgeht die Windows-Anmeldung bzw. meldet sich als einen Benutzer an der maximale Beschränkung "geniest". Somit können die User auch falls sie es schaffen, das Passwort zu knacken womit man das Programm beenden kann nicht an höhere Rechte kommen.
2. Die User haben nur Zugriff auf einen vorher erstellten Downloadordner (herunterladen dürfen sie auch noch).
3. SiteKiosk startet mit Windows zusammen, überblendet es und lässt sich nicht ohne das oben bereits erwähnte Passwort beendet werden.
4. Die "Quickstart Message" ist deaktiviert, die Tastatur ist beim Aufstarten gesperrt und das BIOS mit einem Passwort versehen...keine chance mehr für den abgesicherten Modus.
5. Alle Aktivitäten werden in Logfiles gespeichert, diese werden nach 90 Tagen automatisch gelöscht.
6. Die User haben nur noch Zugriff auf Word, Excel, PowerPoint sowie die in Windows vorinstallierten Spiele.
7. Tastenkombinationen wie STRG+ALT+DEL, Windows+D etc. sind gesperrt.
8. Es können nur die bereits installierten ActiveX-Steuerelemente geladen werden.
9. Die Oberfläche besteht im Grunde genommen nur noch aus dem Browser, der nicht geschlossen und nicht minimiert werden kann.
10. Ebenfalls ist eine Sperre für "gewisse Typen" von Seiten eingerichtet
. Darüber muss ich aber nicht speziell berichten.Mein grösstes Sorgenkind ist, dass ich das Ausführen von .bat,.exe usw. (ausführbaren) Dateien erlauben muss. Es sei denn ich kann beweisen, dass mithilfe solcher Dateien die Sicherung auch nur Teilweise umangen werden kann. Ist das möglich.
Ich denke ansonsten ist das höchstmögliche Mass an Sicherheit (für unser Netzwerk) bereits gewährleistet. Falls ihr aber noch bekannte Lücken beisteuern könntet, wäre ich euch Dankbar wenn ihr mir diese mitteilen könntet schließlich lernt man nie aus und wenn die in unser Netzwerk auch nur für eine Millisekunde reinschauen könnten, wäre ich so gut wie tot xDD.
Danke schon mal vornweg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 160083
Url: https://administrator.de/contentid/160083
Printed on: April 25, 2024 at 00:04 o'clock
10 Comments
Latest comment
Moin,
Internetzugang sollen die haben?
Gruß
24
Internetzugang sollen die haben?
Gruß
24
Hallo snow,
Windows + e - Kombination magst nicht sperren ?
Dass deine User über Proxy´s auf diverse Seiten gelangen hast du auch schon unterbunden ?
LG
Windows + e - Kombination magst nicht sperren ?
Dass deine User über Proxy´s auf diverse Seiten gelangen hast du auch schon unterbunden ?
LG
Moin
Wiso sollte mann nicht ins Bios gelangen?
Schonmal ein CMOS Reset gemacht?
Das Aufschrauben dauert keine Minute und danach geht der Abgesicherte Modus wieder ;)
Was ist mir USB Sticks? Sind diese Bootbar?
Wenn mann genug Zeit hat wird mann immer eine Lücke Finden denn 100% Sicher gibts halt nicht.... Aber es sollte die meisten Scriptkiddis abhalten was zu machen....
Wiso sollte mann nicht ins Bios gelangen?
Schonmal ein CMOS Reset gemacht?
Das Aufschrauben dauert keine Minute und danach geht der Abgesicherte Modus wieder ;)
Was ist mir USB Sticks? Sind diese Bootbar?
Wenn mann genug Zeit hat wird mann immer eine Lücke Finden denn 100% Sicher gibts halt nicht.... Aber es sollte die meisten Scriptkiddis abhalten was zu machen....
Achja,
ich empfehle dir noch USB-Secure (ist ein Programm zum definierten Sperren von USB-Ports. Es ist hiermit möglich, bestimmte Gerät zu erlauben und andere entsprechend auszusperren.)
ich empfehle dir noch USB-Secure (ist ein Programm zum definierten Sperren von USB-Ports. Es ist hiermit möglich, bestimmte Gerät zu erlauben und andere entsprechend auszusperren.)
Thx erstmals für eure Bergsteigung beim Antworten
@2hard4you: Ja, das Programm ist genau dafür ausgelegt...
Beispiel: Eine Firma will einen Kunden-PC aufsetzen, mit dem diese nur auf ihre Website zugreiffen können...dafür is SiteKiosk...eigentlich wie eine Maschine mit einem Browser als Betriebssystem.
@NetzNinja: Naja so viel Sicherheit brauchts auch nicht....das sind keine Experten...das mit dem Proxy hab ich gemacht...das mit dem USB-Stick die dürfen generell keine Sticks bei sich haben wenn sie an den PC wollen und darum hab ich sie mal offen gelassen.. Tastenkombinationen sind wie bereits gesagt ALLE gesperrt nicht mal STRG+S geht noch.
@kaiand1: Ich bezweifle das diese Leute ( aus der Suchtabteilung in unserer psychiatrischen Klinik) das wissen was du weisst...Sticks sind ja wie bereits gesagt bootbar.
@all: Also wie ich kaiand1 gesagt habe, diese Leute haben gerade mal genug Hirn für etwas anderes als Drogen übrig, dass die über Google ne Lösung suchen "könnten" also im Grunde genommen sollten einfach die bekanntesten Sicherheitslücken geschlossen sein und wie mir scheint, bin ich da recht nah dran.
@2hard4you: Ja, das Programm ist genau dafür ausgelegt...
Beispiel: Eine Firma will einen Kunden-PC aufsetzen, mit dem diese nur auf ihre Website zugreiffen können...dafür is SiteKiosk...eigentlich wie eine Maschine mit einem Browser als Betriebssystem.
@NetzNinja: Naja so viel Sicherheit brauchts auch nicht....das sind keine Experten...das mit dem Proxy hab ich gemacht...das mit dem USB-Stick die dürfen generell keine Sticks bei sich haben wenn sie an den PC wollen und darum hab ich sie mal offen gelassen.. Tastenkombinationen sind wie bereits gesagt ALLE gesperrt nicht mal STRG+S geht noch.
@kaiand1: Ich bezweifle das diese Leute ( aus der Suchtabteilung in unserer psychiatrischen Klinik) das wissen was du weisst...Sticks sind ja wie bereits gesagt bootbar.
@all: Also wie ich kaiand1 gesagt habe, diese Leute haben gerade mal genug Hirn für etwas anderes als Drogen übrig, dass die über Google ne Lösung suchen "könnten" also im Grunde genommen sollten einfach die bekanntesten Sicherheitslücken geschlossen sein und wie mir scheint, bin ich da recht nah dran.
Moin,
auch Junkies hatten mal ein Vorleben gehabt und könnten entsprechende Kenntnisse habe, bitte nicht so hochmütig ....
ich würde dann noch nen VPN-Tunnel zum Router legen - so wie dann da nicht einbrechen kann, kann man da auch nicht raus ....
Gruß
24
auch Junkies hatten mal ein Vorleben gehabt und könnten entsprechende Kenntnisse habe, bitte nicht so hochmütig ....
ich würde dann noch nen VPN-Tunnel zum Router legen - so wie dann da nicht einbrechen kann, kann man da auch nicht raus ....
Gruß
24
Is nicht hochmütig ^^ das sind Tatsachen die niemand ernsthaft bestreiten kann xDD
Zitat von @94330:
Is nicht hochmütig ^^ das sind Tatsachen die niemand ernsthaft bestreiten kann xDD
Is nicht hochmütig ^^ das sind Tatsachen die niemand ernsthaft bestreiten kann xDD
für eine Sicherheitslösung aber nicht zielführend - potentiell ist es möglich, das ein (ehemaliger) Admin in dieses Loch gefallen ist - oder, weil er Geld verdienen muß (derzeit keinen Job), bei Euch in der Reinigungskolonne ist...... - genau dafür ist ein Sicherheitskonzept gedacht
und Dein geistiger Horizont ist nicht der Nabel der Welt, auch deswegen hast Du gefragt - also schiebe Antworten nicht beiseite, nur weil Du sie nicht verstehst...
Danke
24
Hallo,
nur 2 kurze Anmerkungen zu SiteKiosk und USB Sticks
bzw. zum verhindern, dass Batch Dateien ausgeführt werden.
Beides lässt sich über die SiteKiosk Konfiguration steuern.
- Unter „-->Sicherheit-->Zugriff“ kann man eine Funktion aktivieren, welche die Arbeitsstation sperrt und ein entsprechender Dialog angezeigt,
sobald ein Wechseldatenträger am Computer angeschlossen ist oder angeschlossen wird (ausgenommen sind Diskettenlaufwerke).
Um zu verhindern, dass vom USB Stick gebootet werden kann sollte man das BIOS entsprechend konfigurieren (z.B. so einstellen, dass nur von der Festplatte gebootet wird).
- Für den Datei Manager von SiteKiosk gibt es unter -->Browser-->Dateimanager“ die Option „Starten von ausführbaren Dateien (.exe, .com, .bat, .cmd) zulassen“.
Diese Option ist per default deaktiviert und sollte ggf. aus Sicherheitsgründen nicht aktiviert werden, da Benutzer sonst jede heruntergeladene Datei ausführen können.
Unter dem abgesicherten SiteKiosk Benutzer stellt dies zwar kein wirkliches Problem dar, trotzdem sollte die Option mit Vorsicht genossen werden.
Um dem Nutzer die Möglichkeit zu bieten externe Programme (z.B. Office Applikationen) zu starten, sollten dieser vorher installiert und in der Sitekiosk Konfiguration entsprechend unter „-->Verwaltung-->Programme“ hinzugefügt werden.
Mit freundlichen Grüßen
das Provisio Support Team (www.provisio.de).
nur 2 kurze Anmerkungen zu SiteKiosk und USB Sticks
bzw. zum verhindern, dass Batch Dateien ausgeführt werden.
Beides lässt sich über die SiteKiosk Konfiguration steuern.
- Unter „-->Sicherheit-->Zugriff“ kann man eine Funktion aktivieren, welche die Arbeitsstation sperrt und ein entsprechender Dialog angezeigt,
sobald ein Wechseldatenträger am Computer angeschlossen ist oder angeschlossen wird (ausgenommen sind Diskettenlaufwerke).
Um zu verhindern, dass vom USB Stick gebootet werden kann sollte man das BIOS entsprechend konfigurieren (z.B. so einstellen, dass nur von der Festplatte gebootet wird).
- Für den Datei Manager von SiteKiosk gibt es unter -->Browser-->Dateimanager“ die Option „Starten von ausführbaren Dateien (.exe, .com, .bat, .cmd) zulassen“.
Diese Option ist per default deaktiviert und sollte ggf. aus Sicherheitsgründen nicht aktiviert werden, da Benutzer sonst jede heruntergeladene Datei ausführen können.
Unter dem abgesicherten SiteKiosk Benutzer stellt dies zwar kein wirkliches Problem dar, trotzdem sollte die Option mit Vorsicht genossen werden.
Um dem Nutzer die Möglichkeit zu bieten externe Programme (z.B. Office Applikationen) zu starten, sollten dieser vorher installiert und in der Sitekiosk Konfiguration entsprechend unter „-->Verwaltung-->Programme“ hinzugefügt werden.
Mit freundlichen Grüßen
das Provisio Support Team (www.provisio.de).
Hallo
Das man .bat usw. Dateien sperren KANN ist mir bereits klar...aber ich habe es deaktiviert...ich wollte nur wissen ob dadurch ein grosses Risiko besteht.
Die Programme sind bereits festgelegt...ich habe da oben davon gesprochen was ich alles bereits UNTERNOMMEN habe.
Trotzdem danke.
Das man .bat usw. Dateien sperren KANN ist mir bereits klar...aber ich habe es deaktiviert...ich wollte nur wissen ob dadurch ein grosses Risiko besteht.
Die Programme sind bereits festgelegt...ich habe da oben davon gesprochen was ich alles bereits UNTERNOMMEN habe.
Trotzdem danke.
