Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ?Supergau? Mainboard Gigabyte GA-P35 DS3 lässt sich booten von DVD u. Sticks nicht verbieten!?

Mitglied: dankon7goo

dankon7goo (Level 1) - Jetzt verbinden

12.03.2008, aktualisiert 13.03.2008, 10597 Aufrufe, 7 Kommentare

Hallo,

wir haben hier in der firma gerade etliche neue Desktop-PCs bekommen,
alle mit dem obengenannten Board.

Nun stelle ich zur größten Verwunderung fest, dass man dem Board (aktuellste Biosversion) nicht beibringen kann NICHT von optischen Laufwerken/ Sticks zu booten.
Man kann zwar im Bios Second und Third Boot Device Disablen, aber das wird alles von der *** - F12 Taste ("Boot Menu") untergraben...

... da ist dann eine volle Liste aus der man richtig schön alles anbooten kann

Mit besagter Taste ist in der Post-Phase ein Booten von den vorher im Bios unter advanced features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!

Ich habe Gigabyte schon geschrieben, leider keine Antwort bis jetzt.

Übelst. Oder?

Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

...Vielleicht hat hier ja schon jemand ERfahrungen diesbezüglich mit dem genannten Board.

Vielen Dank!
Mitglied: gi-networx
12.03.2008 um 17:38 Uhr
Hi,

ich kenne jetzt zwar nicht speziell dieses Board, aber ich glaube mich zu erinnern das man bei FSC-Boards auch das Boot-Menü disablen kann.
Teilweise wird das Boot-Menü iirc auch disabled wenn man anstatt der POST-Messages das Logo des Board-Herstellers beim booten anzeigen lässt.


>features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!
>Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für >jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

Wenn euch derart an Sicherheit liegt, warum baut ihr dann nicht einfach alle enstprechenden Laufwerke aus? Ich hab gehört bei Mercedes werden bei neuen Rechnern sogar die USB-Ports "physikalisch deaktiviert".
Bitte warten ..
Mitglied: dankon7goo
12.03.2008 um 17:57 Uhr
Ja das war einen Versuch wert: Aber das Logo des Herstellers enthält auch einen Hinweis auf die F12-Taste. Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält´

Ja das ist per se ja keine schlechte Idee, aber unsere Nutzer brauchen schon ihre Sticks.
Ich kann leider gar nicht abschätzen was das für unsere Domain mittelfristig bedeutet,
von wegen Sicherheit...

Danke jedenfalls!

Und Ihr die Anderen: was meint ihr? Erfahrungen oder Anregungen!
Bitte warten ..
Mitglied: gi-networx
12.03.2008 um 19:45 Uhr
>Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält

Das wäre dann aber Security through Obscurity was ja bekanntlich keine echte Security ist.
In diesem Fall denke ich das diese Maßnahme besondern nutzlos wäre, weil jemand der das System aus fraglichen Gründen fremdbooten will auch anderswo rausbekommt welche Taste er dazu drücken muss - falls er es nicht eh schon weiß da F12 für das Bootemneü anscheinend jetzt überall so gemacht wird.

Aber eigentlich verstehe ich Deine Angst gar nicht so zu 100%. Ich persönlich sehe jetzt nicht unbedingt ein riesen Sicherheitsrisiko darin, das jemand eure Desktop-Rechner fremdbooten könnte.
Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Falls jemand fremdbootet und z.B. vorsätzlich ein anderes OS installiert oder Dateien von der Festplatte löscht ist das zwar ärgerlich, aber in so einem Fall denke ich mir persönlich: Wenn jemand die kriminelle Energie besitzt Geschäftsdesktops derart zu manipulieren dann baut so jemand auch einfach die HDD aus wenn er nciht booten kann...

Wiegesagt, Ärger durch mehr Arbeitsaufwand ist möglich, aber sicherheitstechnisch sehe ich hier kein Problem. An Deiner Selle würde ich mir mehr Gedanken machen was die Leute z.B. auf USB-Sticks so einschleppen wenn Windows bereits läuft und sie am Netz angmeldet sind. DAS, finde ich, ist das große Risiko bei Wechseldatenträgern.

Viele Grüße, Michl
Bitte warten ..
Mitglied: DerSchorsch
12.03.2008 um 22:10 Uhr
Hallo

Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Ein Industriespion könnte dies ausnutzen um z.B. einen Keylogger oder Trojaner lokal auf einem Client zu installieren, der dann darauf wartet, dass sich jemand mit entsprechenden Rechten im Netz anmeldet.
Dazu muss man eigentlich nur kurz lokal an den Rechner kommen. Dass kann auch eine bestechliche Putzfrau sein, die bei Putzen der Büros der Geschäftsleitung/Buchhaltung/Konstruktionsabteilung einen präparierten USB-Stick einsteckt, den Rechner einschaltet, F12 drückt und vom Stick bootet. Den Rest erledigt ein Script...

Bei Business-PCs darf sowas einfach nicht vorkommen. Wenn das BIOS beim Aufruf des Bootmenüs nach dem BIOS-Passwort fragt, ok, aber die eingestellten BIOS-Werte (und dazu gehören die Bootmedien und -sequenz) einfach zu umgehen ist nicht akzeptabel.

Gruß,
Schorsch
Bitte warten ..
Mitglied: gi-networx
13.03.2008 um 06:24 Uhr
Hi

Ein Industriespion könnte dies
ausnutzen um z.B. einen Keylogger oder
Trojaner lokal auf einem Client zu
installieren, der dann darauf wartet, dass
sich jemand mit entsprechenden Rechten im
Netz anmeldet.

Und wenn er das nicht kann steckt er eben einen Hardware-Keylogger zwischen Tastatur und USB-Port
Das ein fremdbooten nicht wünschenswert ist, ist mir sicherlich auch klar, aber ich betrachte das jetzt nicht als Supergau

Viele Grüße
Michl
Bitte warten ..
Mitglied: dankon7goo
13.03.2008 um 07:33 Uhr
Also wir haben hier eine Art besseres Internetcafe.

50 Clients in einem Poolraum mit über 1000 wechselnden Usern - deshalb lege ich so einen Wert auf die Unterbindung des Bootens über optische Laufwerke;
in der Verbindung mit mandatory Profiles und der Mitgliedschaft aller in "Benutzer" anstatt Hauptbenutzer. Das war neben Diskimaging auf den Clients und natürlich installiertem Virenscanner und Patche unsere bescheidene Sicherheit.

Aber nun kann dank freiem Bootens:

jeder lokale SAM Konten hacken ( kann man das mit einer restrikitiven Gruppenrichtlinie verhindern, dass eine lokale Anmeldung überhaupt möglich ist mit einem so fingierten lokalen Adminaccount)

Jeder Idiot alles löschen / Keylogger installieren, etc.

Nicht das wir hier zum Zombie/Bot-Netz mutieren.


Je mehr ich darüber nachdenke desto mehr habe ich den Eindruck wir müssen die noch verpackten Rechner zurückgeben - und ein neues Board erhalten. War schließlich ein Systemhaus oder so!

Scheinbar bewerte ich den Sachverhalt ja doch nicht über!!

Grüße und Dank!
Bitte warten ..
Mitglied: DerSchorsch
13.03.2008 um 12:54 Uhr
Die Montage eines Hardware-Keyloggers kann man mit entsprechenden Möbeln drumherum schon erschweren. Ich habe das schon Halterungen unter Schreibtischen gesehen, die hatten eine Art Käfig aus Metallgitter, in dem der Rechner eingebaut war. Das ganze abschliessbar. Da kommt man gar nicht so leicht an den Tastaturanschluß ran.
Und sah nicht so hässlich aus, wie es sich anhört

Nun hat dankon7goo ja das Szenario genauer beschrieben und da tauchen auch andere Probleme auf:
jede Menge wechselnder Benutzer, die vermutlich schon gerne mal mehr mit den Rechnern anstellen wollen, als es die Richtlinien erlauben. Mal ein Spielchen spielen oder einfach mal Just for Fun probieren, was man so alles anstellen kann. Sind ja keine Privatrechner, Geld verdienen muss man damit auch nicht und das Ganze in einer gewissen Anonymität...
Da kann man schon auf dumme Gedanken kommen.

Also toll ist das ganze nicht. Vor allem sollte Gigabyte Stellung beziehen. Vielleicht gibt es ja eine BIOS-Version, in der das Verhalten anderst ist.

Gruß,
Schorsch
Bitte warten ..
Ähnliche Inhalte
Windows 10

Mainboard Gigabyte GA-870A-USB3 vergisst HDD mit OS W10 nach Updates

gelöst Frage von BassFishFoxWindows 104 Kommentare

Hallo, Wir haben hier mehrere PC mit baugleichen Komponenten wie Mainboard, CPU, Grafik, HDDs, RAM. OS ist W10 PROF ...

CPU, RAM, Mainboards

Gigabyte GA-H61M-D2-B3 welche Grafikkarte ERFAHRUNG

gelöst Frage von matrix-22CPU, RAM, Mainboards5 Kommentare

Hallo Admin-Freunde, habe ein älteres Board im Einsatz, und habe dieses mit einer SSD und Kingston Speicher aufgerüstet :-), ...

Linux

Linux auf USB-Stick Installiert - Lässt sich nicht booten

Frage von AssinoneLinux6 Kommentare

Ich habe vor kurzem eine Version von Kali Linux mit Hilfe eines bootfähigen USB-Sticks auf meinem Laptop installiert. Die ...

Windows 10

Windows 10 DVD boot

Frage von 132092Windows 104 Kommentare

Hallo Ich habe mir ein neuen Laptop zugelegt (Medion erazer p7648) Und ich möchte Windows 10 neu installieren (altes ...

Neue Wissensbeiträge
Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 StundenHardware

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Sicherheit

Oracle gibt kritische Updates für diverse Produkte frei (16. Oktober 2018)

Information von kgborn vor 15 StundenSicherheit

Oracle hat zum 16. Oktober 2018 eine ganze Reihe an kritischen Updates für seine Produkte freigegeben. Eine Kurzübersicht mit ...

Windows 10
FYI: Fristen beim Windows 10 Downgrade-Recht
Information von kgborn vor 15 StundenWindows 10

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 18 StundenCMS6 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Heiß diskutierte Inhalte
Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1021 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Exchange Server
Outlook Anywhere - Anmeldefenster muss mit Domain gefüllt werden
Frage von leon123Exchange Server15 Kommentare

Hallo zusammen, ich habe relativ erfolgreich einen Exchange 2016 aufgesetzt, sowie ein SAN-Zertifikat eingespielt und Outlook Anywhere aktiviert. Beim ...

Debian
Linux debian 9 Installation
Frage von Green14Debian15 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...