Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gibt es das DAU-sichere Internet?

Frage Sicherheit Viren und Trojaner

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

27.11.2008, aktualisiert 02.12.2008, 6390 Aufrufe, 18 Kommentare

Moin,

gibt es die Möglichkeit auf einem XP Prof PC das Internet so sicher zu machen, dass der Benutzer wirklich nichts falsch machen kann?
Und wenn wie?

Hintgerund: Der Chef von Firma X surft ein bischen viel auf den falschen Seiten und hat damit seinen PC wiederholt zerstört.
Er will damit aber auch nicht aufhören.

Es geht nur um das surfen im Internet.
Flash, Javascript und ähnliches muss funktionieren.

Alternativ würde ich sonst einen 2. PC daneben stellen nur fürs surfen, damit sein Arbeitspc weiter funktioniert.
Dieser bekommt einen seperaten Internet-Anschluss (damit der verseuchte PC nicht das Netzwerk infizieren kann) und alle 4 Wochen spielt man das Image zurück.

Gibt es funktionieren Sandbox Programme?

Stefan
Mitglied: keksprinz
27.11.2008 um 09:05 Uhr
Schau dir mal das Microsoft Shared Computer Toolkit an.

Damit kannst du die Festplatte schützen, sprich alle Veränderungen gehen beim Neustart verlohren.
Bitte warten ..
Mitglied: Hannes-Schurig
27.11.2008 um 09:18 Uhr
Zitat von keksprinz:
Schau dir mal das Microsoft Shared Computer Toolkit an.
während des surfens fängt sich der chef sich dann viren ein, die im schlimmsten fall systemdateien ohne ende abändern. das kann das m$ toolkit dann noch abfangen? klingt nicht nach einer extrem sicheren methode.

aber ich will nicht meckern. ich kann da selber nich groß zu beitragen da es mir fast unmöglich scheint einen XP rechner soweit einzuschränken dass trotz flash, java, activex und allen exploit-schleudern es ein wunderbarer surfrechner ohne risiko bleibt. mein versuch wär vielleicht folgender:

nen zweitrechner wär perfekt, nur fürs surfen.
auf dem admin account m$ steady state auf, einen eingeschränken benutzer jegliche windows-einschränkungen des programms reinhaun, so dass nichts mehr geht ausser firefox.exe starten (auch kein iexplore.exe mehr erlauben) und dann in dem account firefox soweit einrichten, dass es zum surfen eignet. dieser eingeschränkte account wird selbstverständlich auch bei jedem neustart zurückgesetzt. aber dadurch, dass ich ihm wahrscheinlich den zugriff auf die laufwerke verbieten würde (um das ausführen von eventuell heruntergeladenen schadprogrammen zu verhindern) könnte der chef nicht groß zeug runterladen.
zum verschärfen würde ich evtl auch noch nen proxyserver einrichten und den als proxy server in firefox hinzufügen. dieser proxy verbietet dann zum beispiel den zugriff auf bekannte malware seiten (keine ahnung ob es ip-listen von bekannten seiten dieser art im internet gibt, die würde ich dann in die acl des proxies kopieren). unwarscheinlich dass der chef genau eine dieser seiten ansurft aber wenn ja kommt er jedenfalls nicht rauf.

ideal wäre dann noch folgende ergänzung:
den traffic des zweitrechner irgendwie loggen, welche seiten er besucht. also entweder die ip's der seiten oder sogar gleich mit dns namenauflösung. dann kann man die seiten bei gelegenheit mal abchecken und "böse seiten" jeglicher art, die man in dem log findet dem proxy hinzufügen. dann hat er irgendwann keine seiten mehr, die ihm schaden könnten. wobei das loggen des inetverkehrs vom chef vielleicht etwas riskant ist ;)

joah. auch da besteht das risiko dass er sich irgendwelche fatalen viren einfängt die evtl das system beschädigen aber dafür gibts ja dann mcafee enterprise oder sowas, das sollte dann schon drin sein.

bin gespannt, was es für vorschläge gibt!
Bitte warten ..
Mitglied: Raider88
27.11.2008 um 09:30 Uhr
Hallo Stefan,

eine andere Möglichkeit wäre der einbau ein PC-Wächter Karte.
http://www.dr-kaiser.eu/ [ca 70€ inkl. MwSt.]
Hier wird die Aktive Partition (c:\) verriegelt alle Änderungen werde beim neustart rückgängig gemacht.
Auch als Administrator.
weiterhin können jedoch auf einer nicht System Partition Daten gespeichert werden.
Hierfür gibt es auch verschiedene Monitoring Tools wobei das bei Geschäftsführern lieber nicht erwähnt werden sollte.

Grüße, Eric
Bitte warten ..
Mitglied: SlainteMhath
27.11.2008 um 09:40 Uhr
Hi,

wie wärs denn mit einer Linux Live-CD?

lg,
Slainte
Bitte warten ..
Mitglied: Driver401
27.11.2008 um 09:43 Uhr
Linux wird wohl kaum in Frage kommen - dann müsste er ja wieder neu booten

Aber das Problem ist doch heute nacht schon angesprochen worden hier:
http://www.administrator.de/Virtualisierung_vs._Internetsicherheit%3F.h ...

Sandbox-Lösung.... die IMHO einzig verwendbare Sache in dem Fall.

J.
Bitte warten ..
Mitglied: Supaman
27.11.2008 um 11:59 Uhr
xp in vm-ware zum surfen benutzen und regelmässig auf den basis-snapshot zurücksetzen. oder einen thin-client zum surfen benutzen.
Bitte warten ..
Mitglied: aqui
27.11.2008 um 13:20 Uhr
Das banalste ist erstmal so einen User NICHT mit MS Applikationen (IE, Outlook) ins Internet zu lassen und die auch aus dem Schnellstart zu löschen, sondern z.B. mit dem Firefox und Thunderbird und die dann mit den ein oder anderen Applikationen DAU sicher machen...
Bitte warten ..
Mitglied: Hannes-Schurig
27.11.2008 um 23:08 Uhr
EricJohn hat hier auch eine interessante lösung angesprochen, die kaiser karte. wenn man den rechner z.b. durch ein kleines schloss verriegeln kann ist ein deaktivieren dieses hardware-schutzes nur mit sehr viel kenntnissen möglich. an meiner ehemaligen it-schule, wo ich meine ausbildung gemacht habe, haben zwar ein paar cracks aus unserer klassenstufe mit selbstgeschriebenen programmen die funktion ausser kraft setzen können. der punkt, dass der pc nach jedem neustart wieder clean ist, ist jedoch sicher.

auch die angesprochene virtualisierung klingt zuverlässig.

dass kein IE genutzt wird sollte voraussetzung sein, sobald das wort 'internet' im spiel ist ;)
Bitte warten ..
Mitglied: StefanKittel
28.11.2008 um 00:14 Uhr
a) DAU
sowas wie vmware, linux oder ähnliches wird nicht funktionieren.

b) IE7
Die besprochenen Seiten setzen einfach den IE7 mit Flash und JS vorraus.

das mit "Microsoft Shared Computer Toolkit" klingt sehr interssant
Ich tendiere im Augenblick zu einem 2. PC mit KVM-Umschalter.
Dort ganz normal XP mit IE7 und AV-Programm und einmal pro Woche wird ein Image zurückgespielt.

Danke für die Tipps
Bitte warten ..
Mitglied: aqui
29.11.2008 um 14:22 Uhr
Die besprochenen Seiten setzen einfach den IE7 mit Flash und JS vorraus...

Eigentlich Unsinn, denn die funktionieren immer auch mit einem aktuellen Firefox, Flash und JS !!
Bitte warten ..
Mitglied: StefanKittel
29.11.2008 um 14:35 Uhr
Zitat von aqui:
Eigentlich Unsinn, denn die funktionieren immer auch mit einem
aktuellen Firefox, Flash und JS !!
nö. die praxis siegt.
meistens surfe ich mit dem ff. aber für manche seiten muss ich den ie verwenden

Stefan
Bitte warten ..
Mitglied: Driver401
01.12.2008 um 10:09 Uhr
Zitat von StefanKittel:
meistens surfe ich mit dem ff. aber für manche seiten muss ich
den ie verwenden

Da weigere ich mich. Seiten, die NUR mit dem IE funktionieren, haben dann eben verloren. Wenn das jeder konsequent machen würde, würden sich die Seitenentwickler vielleicht mal überlegen, ordentlichen Code einzubauen ))
Bitte warten ..
Mitglied: Midivirus
01.12.2008 um 10:51 Uhr
eben, wer only IE proggy macht, der ist fehl am Platze!

und zu dem Geschäftsführer:
der hat auch nichts besseres zutun oder wie?


Hamma Sache! Unbeleerbar so ein Typ!
Bitte warten ..
Mitglied: Hannes-Schurig
01.12.2008 um 14:00 Uhr
Zitat von Midivirus:
eben, wer only IE proggy macht, der ist fehl am Platze!

und zu dem Geschäftsführer:
der hat auch nichts besseres zutun oder wie?


Hamma Sache! Unbeleerbar so ein Typ!

man hilft wo man kann, bzw. wem man kann, nicht wahr.

unmöglich dieser sachverhalt aber naja, dennoch ein interessanter meinungsaustausch.

joah finished
Bitte warten ..
Mitglied: Midivirus
01.12.2008 um 15:54 Uhr
ja okay, bischen überreagiert!

Aber trotzdem sind wir im Zeitalter, wo phishing an der Tagesordnung steht, täusche ich mich wieder?


Grüßle
Bitte warten ..
Mitglied: Hannes-Schurig
01.12.2008 um 22:47 Uhr
Zitat von Midivirus:
ja okay, bischen überreagiert!

Aber trotzdem sind wir im Zeitalter, wo phishing an der Tagesordnung
steht, täusche ich mich wieder?


Grüßle

wohl kaum :D

naja wenigstens fliegt der chef dann früher oder später und ein managergehalt weniger, das den staat belastet ;)
Bitte warten ..
Mitglied: Supaman
02.12.2008 um 10:57 Uhr
mir fällt grade noch eine lösung ein... wenn man windows xp mit dem EWF patch von windows embedded benutzt. nach dem booten werden alle änderungen ins ram geschrieben, beim reboot ist alles wieder wie vorher.
http://granturing.blogspot.com/

alternativ kann man auch FWBF benutzen und den dateipfad auf c:\ setzen.
http://www.mp3car.com/vbulletin/winnt-based/121088-guide-using-fbwf-win ...

EWF = schreibschutz gilt fürs ganze dateisystem, FWBF = gilt für dateien bzw dateipfade.
Bitte warten ..
Mitglied: DerWoWusste
23.12.2008 um 20:39 Uhr
Auch wenn das Thema durch ist, noch ein Kommentar:
"Der Chef von Firma X surft ein bischen viel auf den falschen Seiten und hat damit seinen PC wiederholt zerstört." - da gehört aber schon Einiges zu.
-völlig ignorantes Verhalten an erster Stelle
-ein ungepatchtes System an zweiter Stelle
-zum Abrunden wahrscheinlich noch lokale Adminrechte...

Zwei Schritte in die richtige Richtung, die noch nicht genannt wurden (neben dem Schritt, den Mann zum Surfen doch auf sein Handy zu verweisen) und die nur wenig Komfortverlust bedeuten: dropmyrights.msi installieren und sichere (Parameter /u) Browser- und Mailer- (welcher gern den Browser startet) shortcuts einrichten. Damit wird es schwer, sich den Rechner zu zerstören.
Ist von Microsoft und stuft die Rechte des Nutzers, der den Browser über eine solche Verknüpfung startet, auf niedriger als eingeschränkt. Wie das geht, ist bei MS dokumentiert.
Download zum Bsp. hier: http://www.lockergnome.com/it/2005/12/05/surf-the-web-read-e-mail-safel ... und http://www.microsoft.com/communities/newsgroups/list/en-us/default.aspx ...
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerkgrundlagen
PFSense kein Internet Zugang (3)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Webbrowser
gelöst Firefox 50 downloads stocken ohne Internet Verbindung (2)

Frage von LordXearo zum Thema Webbrowser ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...