Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

?Supergau? Mainboard Gigabyte GA-P35 DS3 lässt sich booten von DVD u. Sticks nicht verbieten!?

Frage Hardware CPU, RAM, Mainboards

Mitglied: dankon7goo

dankon7goo (Level 1) - Jetzt verbinden

12.03.2008, aktualisiert 13.03.2008, 10162 Aufrufe, 7 Kommentare

Hallo,

wir haben hier in der firma gerade etliche neue Desktop-PCs bekommen,
alle mit dem obengenannten Board.

Nun stelle ich zur größten Verwunderung fest, dass man dem Board (aktuellste Biosversion) nicht beibringen kann NICHT von optischen Laufwerken/ Sticks zu booten.
Man kann zwar im Bios Second und Third Boot Device Disablen, aber das wird alles von der *** - F12 Taste ("Boot Menu") untergraben...

... da ist dann eine volle Liste aus der man richtig schön alles anbooten kann

Mit besagter Taste ist in der Post-Phase ein Booten von den vorher im Bios unter advanced features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!

Ich habe Gigabyte schon geschrieben, leider keine Antwort bis jetzt.

Übelst. Oder?

Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

...Vielleicht hat hier ja schon jemand ERfahrungen diesbezüglich mit dem genannten Board.

Vielen Dank!
Mitglied: gi-networx
12.03.2008 um 17:38 Uhr
Hi,

ich kenne jetzt zwar nicht speziell dieses Board, aber ich glaube mich zu erinnern das man bei FSC-Boards auch das Boot-Menü disablen kann.
Teilweise wird das Boot-Menü iirc auch disabled wenn man anstatt der POST-Messages das Logo des Board-Herstellers beim booten anzeigen lässt.


>features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!
>Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für >jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

Wenn euch derart an Sicherheit liegt, warum baut ihr dann nicht einfach alle enstprechenden Laufwerke aus? Ich hab gehört bei Mercedes werden bei neuen Rechnern sogar die USB-Ports "physikalisch deaktiviert".
Bitte warten ..
Mitglied: dankon7goo
12.03.2008 um 17:57 Uhr
Ja das war einen Versuch wert: Aber das Logo des Herstellers enthält auch einen Hinweis auf die F12-Taste. Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält´

Ja das ist per se ja keine schlechte Idee, aber unsere Nutzer brauchen schon ihre Sticks.
Ich kann leider gar nicht abschätzen was das für unsere Domain mittelfristig bedeutet,
von wegen Sicherheit...

Danke jedenfalls!

Und Ihr die Anderen: was meint ihr? Erfahrungen oder Anregungen!
Bitte warten ..
Mitglied: gi-networx
12.03.2008 um 19:45 Uhr
>Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält

Das wäre dann aber Security through Obscurity was ja bekanntlich keine echte Security ist.
In diesem Fall denke ich das diese Maßnahme besondern nutzlos wäre, weil jemand der das System aus fraglichen Gründen fremdbooten will auch anderswo rausbekommt welche Taste er dazu drücken muss - falls er es nicht eh schon weiß da F12 für das Bootemneü anscheinend jetzt überall so gemacht wird.

Aber eigentlich verstehe ich Deine Angst gar nicht so zu 100%. Ich persönlich sehe jetzt nicht unbedingt ein riesen Sicherheitsrisiko darin, das jemand eure Desktop-Rechner fremdbooten könnte.
Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Falls jemand fremdbootet und z.B. vorsätzlich ein anderes OS installiert oder Dateien von der Festplatte löscht ist das zwar ärgerlich, aber in so einem Fall denke ich mir persönlich: Wenn jemand die kriminelle Energie besitzt Geschäftsdesktops derart zu manipulieren dann baut so jemand auch einfach die HDD aus wenn er nciht booten kann...

Wiegesagt, Ärger durch mehr Arbeitsaufwand ist möglich, aber sicherheitstechnisch sehe ich hier kein Problem. An Deiner Selle würde ich mir mehr Gedanken machen was die Leute z.B. auf USB-Sticks so einschleppen wenn Windows bereits läuft und sie am Netz angmeldet sind. DAS, finde ich, ist das große Risiko bei Wechseldatenträgern.

Viele Grüße, Michl
Bitte warten ..
Mitglied: DerSchorsch
12.03.2008 um 22:10 Uhr
Hallo

Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Ein Industriespion könnte dies ausnutzen um z.B. einen Keylogger oder Trojaner lokal auf einem Client zu installieren, der dann darauf wartet, dass sich jemand mit entsprechenden Rechten im Netz anmeldet.
Dazu muss man eigentlich nur kurz lokal an den Rechner kommen. Dass kann auch eine bestechliche Putzfrau sein, die bei Putzen der Büros der Geschäftsleitung/Buchhaltung/Konstruktionsabteilung einen präparierten USB-Stick einsteckt, den Rechner einschaltet, F12 drückt und vom Stick bootet. Den Rest erledigt ein Script...

Bei Business-PCs darf sowas einfach nicht vorkommen. Wenn das BIOS beim Aufruf des Bootmenüs nach dem BIOS-Passwort fragt, ok, aber die eingestellten BIOS-Werte (und dazu gehören die Bootmedien und -sequenz) einfach zu umgehen ist nicht akzeptabel.

Gruß,
Schorsch
Bitte warten ..
Mitglied: gi-networx
13.03.2008 um 06:24 Uhr
Hi

Ein Industriespion könnte dies
ausnutzen um z.B. einen Keylogger oder
Trojaner lokal auf einem Client zu
installieren, der dann darauf wartet, dass
sich jemand mit entsprechenden Rechten im
Netz anmeldet.

Und wenn er das nicht kann steckt er eben einen Hardware-Keylogger zwischen Tastatur und USB-Port
Das ein fremdbooten nicht wünschenswert ist, ist mir sicherlich auch klar, aber ich betrachte das jetzt nicht als Supergau

Viele Grüße
Michl
Bitte warten ..
Mitglied: dankon7goo
13.03.2008 um 07:33 Uhr
Also wir haben hier eine Art besseres Internetcafe.

50 Clients in einem Poolraum mit über 1000 wechselnden Usern - deshalb lege ich so einen Wert auf die Unterbindung des Bootens über optische Laufwerke;
in der Verbindung mit mandatory Profiles und der Mitgliedschaft aller in "Benutzer" anstatt Hauptbenutzer. Das war neben Diskimaging auf den Clients und natürlich installiertem Virenscanner und Patche unsere bescheidene Sicherheit.

Aber nun kann dank freiem Bootens:

jeder lokale SAM Konten hacken ( kann man das mit einer restrikitiven Gruppenrichtlinie verhindern, dass eine lokale Anmeldung überhaupt möglich ist mit einem so fingierten lokalen Adminaccount)

Jeder Idiot alles löschen / Keylogger installieren, etc.

Nicht das wir hier zum Zombie/Bot-Netz mutieren.


Je mehr ich darüber nachdenke desto mehr habe ich den Eindruck wir müssen die noch verpackten Rechner zurückgeben - und ein neues Board erhalten. War schließlich ein Systemhaus oder so!

Scheinbar bewerte ich den Sachverhalt ja doch nicht über!!

Grüße und Dank!
Bitte warten ..
Mitglied: DerSchorsch
13.03.2008 um 12:54 Uhr
Die Montage eines Hardware-Keyloggers kann man mit entsprechenden Möbeln drumherum schon erschweren. Ich habe das schon Halterungen unter Schreibtischen gesehen, die hatten eine Art Käfig aus Metallgitter, in dem der Rechner eingebaut war. Das ganze abschliessbar. Da kommt man gar nicht so leicht an den Tastaturanschluß ran.
Und sah nicht so hässlich aus, wie es sich anhört

Nun hat dankon7goo ja das Szenario genauer beschrieben und da tauchen auch andere Probleme auf:
jede Menge wechselnder Benutzer, die vermutlich schon gerne mal mehr mit den Rechnern anstellen wollen, als es die Richtlinien erlauben. Mal ein Spielchen spielen oder einfach mal Just for Fun probieren, was man so alles anstellen kann. Sind ja keine Privatrechner, Geld verdienen muss man damit auch nicht und das Ganze in einer gewissen Anonymität...
Da kann man schon auf dumme Gedanken kommen.

Also toll ist das ganze nicht. Vor allem sollte Gigabyte Stellung beziehen. Vielleicht gibt es ja eine BIOS-Version, in der das Verhalten anderst ist.

Gruß,
Schorsch
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...