Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ?Supergau? Mainboard Gigabyte GA-P35 DS3 lässt sich booten von DVD u. Sticks nicht verbieten!?

Mitglied: dankon7goo

dankon7goo (Level 1) - Jetzt verbinden

12.03.2008, aktualisiert 13.03.2008, 10572 Aufrufe, 7 Kommentare

Hallo,

wir haben hier in der firma gerade etliche neue Desktop-PCs bekommen,
alle mit dem obengenannten Board.

Nun stelle ich zur größten Verwunderung fest, dass man dem Board (aktuellste Biosversion) nicht beibringen kann NICHT von optischen Laufwerken/ Sticks zu booten.
Man kann zwar im Bios Second und Third Boot Device Disablen, aber das wird alles von der *** - F12 Taste ("Boot Menu") untergraben...

... da ist dann eine volle Liste aus der man richtig schön alles anbooten kann

Mit besagter Taste ist in der Post-Phase ein Booten von den vorher im Bios unter advanced features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!

Ich habe Gigabyte schon geschrieben, leider keine Antwort bis jetzt.

Übelst. Oder?

Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

...Vielleicht hat hier ja schon jemand ERfahrungen diesbezüglich mit dem genannten Board.

Vielen Dank!
Mitglied: gi-networx
12.03.2008 um 17:38 Uhr
Hi,

ich kenne jetzt zwar nicht speziell dieses Board, aber ich glaube mich zu erinnern das man bei FSC-Boards auch das Boot-Menü disablen kann.
Teilweise wird das Boot-Menü iirc auch disabled wenn man anstatt der POST-Messages das Logo des Board-Herstellers beim booten anzeigen lässt.


>features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!
>Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für >jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

Wenn euch derart an Sicherheit liegt, warum baut ihr dann nicht einfach alle enstprechenden Laufwerke aus? Ich hab gehört bei Mercedes werden bei neuen Rechnern sogar die USB-Ports "physikalisch deaktiviert".
Bitte warten ..
Mitglied: dankon7goo
12.03.2008 um 17:57 Uhr
Ja das war einen Versuch wert: Aber das Logo des Herstellers enthält auch einen Hinweis auf die F12-Taste. Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält´

Ja das ist per se ja keine schlechte Idee, aber unsere Nutzer brauchen schon ihre Sticks.
Ich kann leider gar nicht abschätzen was das für unsere Domain mittelfristig bedeutet,
von wegen Sicherheit...

Danke jedenfalls!

Und Ihr die Anderen: was meint ihr? Erfahrungen oder Anregungen!
Bitte warten ..
Mitglied: gi-networx
12.03.2008 um 19:45 Uhr
>Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält

Das wäre dann aber Security through Obscurity was ja bekanntlich keine echte Security ist.
In diesem Fall denke ich das diese Maßnahme besondern nutzlos wäre, weil jemand der das System aus fraglichen Gründen fremdbooten will auch anderswo rausbekommt welche Taste er dazu drücken muss - falls er es nicht eh schon weiß da F12 für das Bootemneü anscheinend jetzt überall so gemacht wird.

Aber eigentlich verstehe ich Deine Angst gar nicht so zu 100%. Ich persönlich sehe jetzt nicht unbedingt ein riesen Sicherheitsrisiko darin, das jemand eure Desktop-Rechner fremdbooten könnte.
Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Falls jemand fremdbootet und z.B. vorsätzlich ein anderes OS installiert oder Dateien von der Festplatte löscht ist das zwar ärgerlich, aber in so einem Fall denke ich mir persönlich: Wenn jemand die kriminelle Energie besitzt Geschäftsdesktops derart zu manipulieren dann baut so jemand auch einfach die HDD aus wenn er nciht booten kann...

Wiegesagt, Ärger durch mehr Arbeitsaufwand ist möglich, aber sicherheitstechnisch sehe ich hier kein Problem. An Deiner Selle würde ich mir mehr Gedanken machen was die Leute z.B. auf USB-Sticks so einschleppen wenn Windows bereits läuft und sie am Netz angmeldet sind. DAS, finde ich, ist das große Risiko bei Wechseldatenträgern.

Viele Grüße, Michl
Bitte warten ..
Mitglied: DerSchorsch
12.03.2008 um 22:10 Uhr
Hallo

Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Ein Industriespion könnte dies ausnutzen um z.B. einen Keylogger oder Trojaner lokal auf einem Client zu installieren, der dann darauf wartet, dass sich jemand mit entsprechenden Rechten im Netz anmeldet.
Dazu muss man eigentlich nur kurz lokal an den Rechner kommen. Dass kann auch eine bestechliche Putzfrau sein, die bei Putzen der Büros der Geschäftsleitung/Buchhaltung/Konstruktionsabteilung einen präparierten USB-Stick einsteckt, den Rechner einschaltet, F12 drückt und vom Stick bootet. Den Rest erledigt ein Script...

Bei Business-PCs darf sowas einfach nicht vorkommen. Wenn das BIOS beim Aufruf des Bootmenüs nach dem BIOS-Passwort fragt, ok, aber die eingestellten BIOS-Werte (und dazu gehören die Bootmedien und -sequenz) einfach zu umgehen ist nicht akzeptabel.

Gruß,
Schorsch
Bitte warten ..
Mitglied: gi-networx
13.03.2008 um 06:24 Uhr
Hi

Ein Industriespion könnte dies
ausnutzen um z.B. einen Keylogger oder
Trojaner lokal auf einem Client zu
installieren, der dann darauf wartet, dass
sich jemand mit entsprechenden Rechten im
Netz anmeldet.

Und wenn er das nicht kann steckt er eben einen Hardware-Keylogger zwischen Tastatur und USB-Port
Das ein fremdbooten nicht wünschenswert ist, ist mir sicherlich auch klar, aber ich betrachte das jetzt nicht als Supergau

Viele Grüße
Michl
Bitte warten ..
Mitglied: dankon7goo
13.03.2008 um 07:33 Uhr
Also wir haben hier eine Art besseres Internetcafe.

50 Clients in einem Poolraum mit über 1000 wechselnden Usern - deshalb lege ich so einen Wert auf die Unterbindung des Bootens über optische Laufwerke;
in der Verbindung mit mandatory Profiles und der Mitgliedschaft aller in "Benutzer" anstatt Hauptbenutzer. Das war neben Diskimaging auf den Clients und natürlich installiertem Virenscanner und Patche unsere bescheidene Sicherheit.

Aber nun kann dank freiem Bootens:

jeder lokale SAM Konten hacken ( kann man das mit einer restrikitiven Gruppenrichtlinie verhindern, dass eine lokale Anmeldung überhaupt möglich ist mit einem so fingierten lokalen Adminaccount)

Jeder Idiot alles löschen / Keylogger installieren, etc.

Nicht das wir hier zum Zombie/Bot-Netz mutieren.


Je mehr ich darüber nachdenke desto mehr habe ich den Eindruck wir müssen die noch verpackten Rechner zurückgeben - und ein neues Board erhalten. War schließlich ein Systemhaus oder so!

Scheinbar bewerte ich den Sachverhalt ja doch nicht über!!

Grüße und Dank!
Bitte warten ..
Mitglied: DerSchorsch
13.03.2008 um 12:54 Uhr
Die Montage eines Hardware-Keyloggers kann man mit entsprechenden Möbeln drumherum schon erschweren. Ich habe das schon Halterungen unter Schreibtischen gesehen, die hatten eine Art Käfig aus Metallgitter, in dem der Rechner eingebaut war. Das ganze abschliessbar. Da kommt man gar nicht so leicht an den Tastaturanschluß ran.
Und sah nicht so hässlich aus, wie es sich anhört

Nun hat dankon7goo ja das Szenario genauer beschrieben und da tauchen auch andere Probleme auf:
jede Menge wechselnder Benutzer, die vermutlich schon gerne mal mehr mit den Rechnern anstellen wollen, als es die Richtlinien erlauben. Mal ein Spielchen spielen oder einfach mal Just for Fun probieren, was man so alles anstellen kann. Sind ja keine Privatrechner, Geld verdienen muss man damit auch nicht und das Ganze in einer gewissen Anonymität...
Da kann man schon auf dumme Gedanken kommen.

Also toll ist das ganze nicht. Vor allem sollte Gigabyte Stellung beziehen. Vielleicht gibt es ja eine BIOS-Version, in der das Verhalten anderst ist.

Gruß,
Schorsch
Bitte warten ..
Ähnliche Inhalte
Windows 10

Mainboard Gigabyte GA-870A-USB3 vergisst HDD mit OS W10 nach Updates

gelöst Frage von BassFishFoxWindows 104 Kommentare

Hallo, Wir haben hier mehrere PC mit baugleichen Komponenten wie Mainboard, CPU, Grafik, HDDs, RAM. OS ist W10 PROF ...

CPU, RAM, Mainboards

Gigabyte GA-H61M-D2-B3 welche Grafikkarte ERFAHRUNG

gelöst Frage von matrix-22CPU, RAM, Mainboards5 Kommentare

Hallo Admin-Freunde, habe ein älteres Board im Einsatz, und habe dieses mit einer SSD und Kingston Speicher aufgerüstet :-), ...

Linux

Linux auf USB-Stick Installiert - Lässt sich nicht booten

Frage von AssinoneLinux6 Kommentare

Ich habe vor kurzem eine Version von Kali Linux mit Hilfe eines bootfähigen USB-Sticks auf meinem Laptop installiert. Die ...

Windows 10

Windows 10 DVD boot

Frage von 132092Windows 104 Kommentare

Hallo Ich habe mir ein neuen Laptop zugelegt (Medion erazer p7648) Und ich möchte Windows 10 neu installieren (altes ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 1 TagRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1020 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte16 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...

Windows Server
Remote Desktop Services User Profile Disk - DFS
Frage von einzelkindWindows Server16 Kommentare

Hallo Miteinander, ich richte gerade eine neue RDS Farm auf Basis von Windows Server 2016 ein. Von Server 2012 ...