Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gast Account erstellen der nur auf einen Ordner und den Internet Explorer zugreifen kann, nebst WinAmp und FlashPlayer für Youtube

Frage Microsoft Windows Userverwaltung

Mitglied: norminator

norminator (Level 1) - Jetzt verbinden

11.08.2011 um 16:26 Uhr, 3807 Aufrufe, 8 Kommentare

Hallo,
ich benötige für eine öffentliche Veranstaltung ein Gastkonto für meinen Computer das nur den Zugriff auf folgende Dinge ermöglicht:

- WinAmp
- Internet Explorer (incl der gängigen Plugins wie Flashplayer/divX für Youtube)
- Leerer Desktop auf dem nur die Verknüpfungen für eben die oben genannten Progamme sind, sowie zwei Verknüpfungen zu Ordnern auf der Festplatte (incl deren Unterordner aber ohne übergeordnete Ordner öffnen zu können)

Also im Prinzip möchte ich verhindern dass sensible und sicherheitsrelevante Daten (also alles außer eben den oben genannten) nicht verwendet oder eingesehen werden können, quasi das die User einen nackten PC vorfinden mit den genannten Zugriffsmöglichkeiten.

Ich hoffe dass das ohne weiteres halbwegs möglich ist.

Vielen Dank schon mal für jede Hilfe!
Mitglied: Lochkartenstanzer
11.08.2011 um 16:59 Uhr
Image von deinen Daten ziehen, ein frische OS mit den gewünschten programmen drauf, hinterher wieder image zurückspielen.

Das ist die sicherste Methode. Ansonsten besteht imemr die Gefahr, daß dein System geschrottet wird, Es muß nicht mal böse Absicht sein.

Alternative:

Dein gesamte Platte mit Truecrypt verschlüsseln, backup nicht vergessen und ein GastSystem von Stick/CD laufen lassen, z.B. BartPE/Win7PE oder knopix cd.
Bitte warten ..
Mitglied: MrTrebron
11.08.2011 um 18:23 Uhr
Hallo Norminator,

wenn die User einen quasi nackten PC vorfinden sollen, dann setze ihnen einen nackten PC vor!

Gruß
Bitte warten ..
Mitglied: DerWoWusste
11.08.2011 um 18:31 Uhr
Moin.
Du kannst den Zugriff auf Dateien mit NTFS verbieten. Du kannst den Zugriff auf ausgewählte Programme mit Applocker bzw. Softwareeinschränkungsrichtlinien erlauben. Wenn Du noch Dein Betriebssystem samt Edition nennen würdest, könnte man sogar Tipps geben.
Bitte warten ..
Mitglied: hmarkus
11.08.2011 um 20:06 Uhr
Hallo norminator,

Aus Deiner Frage geht nicht hervor um welche Windows-Version es sich handelt, für Win XP gibt's "steadystate". Du kannst z.B. alle Laufwerke ausblenden und alle Programme verbieten außer den gewünschten. Und alle Änderungen durch den User sind beim nächsten Anmelden weg, also es wird nichts gespeichert.

http://www.microsoft.com/germany/protect/products/family/steadystate.ms ...

Gruß

Markus
Bitte warten ..
Mitglied: DerWoWusste
11.08.2011 um 20:16 Uhr
@LKS:
Ansonsten besteht imemr die Gefahr, daß dein System geschrottet wird
wie stellst Du Dir das vor? Die Gefahr ist nicht gegeben, wenn es kein Admin ist.
Bitte warten ..
Mitglied: hmarkus
11.08.2011 um 20:25 Uhr
Naja, wenn Internetexplorer läuft und auf youtube zugegriffen werden soll.... Um sich eine Virus einzufangen muss man kein Admin sein. Was ist wenn jemand etwas auf seinem USB-Stick anschleppt.

Gruß

Markus
Bitte warten ..
Mitglied: DerWoWusste
11.08.2011 um 20:36 Uhr
Ok, lass uns nicht lang abschweifen, war ja an LKS adressiert. Unter "System schrotten" verstehe ich nicht, einen Virus im Benutzerkonto zu installieren (welches gelöscht werden kann). Mehr kann nicht passieren, ein schwacher User kann auch mutwillig nur schwer ein Elevation of Privilege produzieren.
Was ist wenn jemand etwas auf seinem USB-Stick anschleppt.
Was soll sein? Die Anwendungen die laufen sollen sind Winamp und IE samt Flash. Viren auf USB sind nicht startberechtigt dank Applocker (Win7) oder SRP (Vista/xp).
Bitte warten ..
Mitglied: Lochkartenstanzer
12.08.2011 um 09:54 Uhr
Zitat von DerWoWusste:
wie stellst Du Dir das vor? Die Gefahr ist nicht gegeben, wenn es kein Admin ist.

Benutzer können sehr kreativ sein, sogar wenn es keine Absicht ist, und sei es nur, daß sie im falschen Moment den Stromstecker ziehen. Sollte es Absicht sein, ist man immer besser dran, daß da gar keine Daten sind, an die sie dran können.

Nachtrag:

Das Angriffszenario wurde von TO nicht genau spezifiziert. Daher gehe ich bei solchen Bedrohungsszenarien immer davon aus, daß da jemand ist, der and die Daten will oder wenn er schon die Daten nicht lesen kann, diese zerstören will. Und mit phsyikalischem Zugang ist da einiges möglich.

Wir haben früher (in den 80ern) als Studenten "Schadcode" durch die Tastatur ins System eingegeben mit den "Hackerbefehlen":

01.
echo "Datenstring" >Bsesprgm.com
oder
copy con: bsesprgm.com
Auf ähnlich kreative Weise kann man auch exploits injizieren und dann aus dem einfachen User einen Admin machen.

Und sag mir keiner "Unsere User sind zu doof dafür". Da gibt es genug vorgefertigte Skripten.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Installation
gelöst Adobes Flash Player für den Internet Explorer schlägt mit Fehler 1722 fehl (10)

Frage von iGordon zum Thema Windows Installation ...

Windows Update
Microsoft Update Katalog ohne Internet Explorer nutzen (2)

Tipp von colinardo zum Thema Windows Update ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...