Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

?Supergau? Mainboard Gigabyte GA-P35 DS3 lässt sich booten von DVD u. Sticks nicht verbieten!?

Frage Hardware CPU, RAM, Mainboards

Mitglied: dankon7goo

dankon7goo (Level 1) - Jetzt verbinden

12.03.2008, aktualisiert 13.03.2008, 10443 Aufrufe, 7 Kommentare

Hallo,

wir haben hier in der firma gerade etliche neue Desktop-PCs bekommen,
alle mit dem obengenannten Board.

Nun stelle ich zur größten Verwunderung fest, dass man dem Board (aktuellste Biosversion) nicht beibringen kann NICHT von optischen Laufwerken/ Sticks zu booten.
Man kann zwar im Bios Second und Third Boot Device Disablen, aber das wird alles von der *** - F12 Taste ("Boot Menu") untergraben...

... da ist dann eine volle Liste aus der man richtig schön alles anbooten kann

Mit besagter Taste ist in der Post-Phase ein Booten von den vorher im Bios unter advanced features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!

Ich habe Gigabyte schon geschrieben, leider keine Antwort bis jetzt.

Übelst. Oder?

Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

...Vielleicht hat hier ja schon jemand ERfahrungen diesbezüglich mit dem genannten Board.

Vielen Dank!
Mitglied: gi-networx
12.03.2008 um 17:38 Uhr
Hi,

ich kenne jetzt zwar nicht speziell dieses Board, aber ich glaube mich zu erinnern das man bei FSC-Boards auch das Boot-Menü disablen kann.
Teilweise wird das Boot-Menü iirc auch disabled wenn man anstatt der POST-Messages das Logo des Board-Herstellers beim booten anzeigen lässt.


>features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!
>Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für >jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

Wenn euch derart an Sicherheit liegt, warum baut ihr dann nicht einfach alle enstprechenden Laufwerke aus? Ich hab gehört bei Mercedes werden bei neuen Rechnern sogar die USB-Ports "physikalisch deaktiviert".
Bitte warten ..
Mitglied: dankon7goo
12.03.2008 um 17:57 Uhr
Ja das war einen Versuch wert: Aber das Logo des Herstellers enthält auch einen Hinweis auf die F12-Taste. Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält´

Ja das ist per se ja keine schlechte Idee, aber unsere Nutzer brauchen schon ihre Sticks.
Ich kann leider gar nicht abschätzen was das für unsere Domain mittelfristig bedeutet,
von wegen Sicherheit...

Danke jedenfalls!

Und Ihr die Anderen: was meint ihr? Erfahrungen oder Anregungen!
Bitte warten ..
Mitglied: gi-networx
12.03.2008 um 19:45 Uhr
>Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält

Das wäre dann aber Security through Obscurity was ja bekanntlich keine echte Security ist.
In diesem Fall denke ich das diese Maßnahme besondern nutzlos wäre, weil jemand der das System aus fraglichen Gründen fremdbooten will auch anderswo rausbekommt welche Taste er dazu drücken muss - falls er es nicht eh schon weiß da F12 für das Bootemneü anscheinend jetzt überall so gemacht wird.

Aber eigentlich verstehe ich Deine Angst gar nicht so zu 100%. Ich persönlich sehe jetzt nicht unbedingt ein riesen Sicherheitsrisiko darin, das jemand eure Desktop-Rechner fremdbooten könnte.
Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Falls jemand fremdbootet und z.B. vorsätzlich ein anderes OS installiert oder Dateien von der Festplatte löscht ist das zwar ärgerlich, aber in so einem Fall denke ich mir persönlich: Wenn jemand die kriminelle Energie besitzt Geschäftsdesktops derart zu manipulieren dann baut so jemand auch einfach die HDD aus wenn er nciht booten kann...

Wiegesagt, Ärger durch mehr Arbeitsaufwand ist möglich, aber sicherheitstechnisch sehe ich hier kein Problem. An Deiner Selle würde ich mir mehr Gedanken machen was die Leute z.B. auf USB-Sticks so einschleppen wenn Windows bereits läuft und sie am Netz angmeldet sind. DAS, finde ich, ist das große Risiko bei Wechseldatenträgern.

Viele Grüße, Michl
Bitte warten ..
Mitglied: DerSchorsch
12.03.2008 um 22:10 Uhr
Hallo

Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Ein Industriespion könnte dies ausnutzen um z.B. einen Keylogger oder Trojaner lokal auf einem Client zu installieren, der dann darauf wartet, dass sich jemand mit entsprechenden Rechten im Netz anmeldet.
Dazu muss man eigentlich nur kurz lokal an den Rechner kommen. Dass kann auch eine bestechliche Putzfrau sein, die bei Putzen der Büros der Geschäftsleitung/Buchhaltung/Konstruktionsabteilung einen präparierten USB-Stick einsteckt, den Rechner einschaltet, F12 drückt und vom Stick bootet. Den Rest erledigt ein Script...

Bei Business-PCs darf sowas einfach nicht vorkommen. Wenn das BIOS beim Aufruf des Bootmenüs nach dem BIOS-Passwort fragt, ok, aber die eingestellten BIOS-Werte (und dazu gehören die Bootmedien und -sequenz) einfach zu umgehen ist nicht akzeptabel.

Gruß,
Schorsch
Bitte warten ..
Mitglied: gi-networx
13.03.2008 um 06:24 Uhr
Hi

Ein Industriespion könnte dies
ausnutzen um z.B. einen Keylogger oder
Trojaner lokal auf einem Client zu
installieren, der dann darauf wartet, dass
sich jemand mit entsprechenden Rechten im
Netz anmeldet.

Und wenn er das nicht kann steckt er eben einen Hardware-Keylogger zwischen Tastatur und USB-Port
Das ein fremdbooten nicht wünschenswert ist, ist mir sicherlich auch klar, aber ich betrachte das jetzt nicht als Supergau

Viele Grüße
Michl
Bitte warten ..
Mitglied: dankon7goo
13.03.2008 um 07:33 Uhr
Also wir haben hier eine Art besseres Internetcafe.

50 Clients in einem Poolraum mit über 1000 wechselnden Usern - deshalb lege ich so einen Wert auf die Unterbindung des Bootens über optische Laufwerke;
in der Verbindung mit mandatory Profiles und der Mitgliedschaft aller in "Benutzer" anstatt Hauptbenutzer. Das war neben Diskimaging auf den Clients und natürlich installiertem Virenscanner und Patche unsere bescheidene Sicherheit.

Aber nun kann dank freiem Bootens:

jeder lokale SAM Konten hacken ( kann man das mit einer restrikitiven Gruppenrichtlinie verhindern, dass eine lokale Anmeldung überhaupt möglich ist mit einem so fingierten lokalen Adminaccount)

Jeder Idiot alles löschen / Keylogger installieren, etc.

Nicht das wir hier zum Zombie/Bot-Netz mutieren.


Je mehr ich darüber nachdenke desto mehr habe ich den Eindruck wir müssen die noch verpackten Rechner zurückgeben - und ein neues Board erhalten. War schließlich ein Systemhaus oder so!

Scheinbar bewerte ich den Sachverhalt ja doch nicht über!!

Grüße und Dank!
Bitte warten ..
Mitglied: DerSchorsch
13.03.2008 um 12:54 Uhr
Die Montage eines Hardware-Keyloggers kann man mit entsprechenden Möbeln drumherum schon erschweren. Ich habe das schon Halterungen unter Schreibtischen gesehen, die hatten eine Art Käfig aus Metallgitter, in dem der Rechner eingebaut war. Das ganze abschliessbar. Da kommt man gar nicht so leicht an den Tastaturanschluß ran.
Und sah nicht so hässlich aus, wie es sich anhört

Nun hat dankon7goo ja das Szenario genauer beschrieben und da tauchen auch andere Probleme auf:
jede Menge wechselnder Benutzer, die vermutlich schon gerne mal mehr mit den Rechnern anstellen wollen, als es die Richtlinien erlauben. Mal ein Spielchen spielen oder einfach mal Just for Fun probieren, was man so alles anstellen kann. Sind ja keine Privatrechner, Geld verdienen muss man damit auch nicht und das Ganze in einer gewissen Anonymität...
Da kann man schon auf dumme Gedanken kommen.

Also toll ist das ganze nicht. Vor allem sollte Gigabyte Stellung beziehen. Vielleicht gibt es ja eine BIOS-Version, in der das Verhalten anderst ist.

Gruß,
Schorsch
Bitte warten ..
Ähnliche Inhalte
Windows 10
Mainboard Gigabyte GA-870A-USB3 vergisst HDD mit OS W10 nach Updates
gelöst Frage von BassFishFoxWindows 104 Kommentare

Hallo, Wir haben hier mehrere PC mit baugleichen Komponenten wie Mainboard, CPU, Grafik, HDDs, RAM. OS ist W10 PROF ...

CPU, RAM, Mainboards
Gigabyte GA-H61M-D2-B3 welche Grafikkarte ERFAHRUNG
gelöst Frage von matrix-22CPU, RAM, Mainboards5 Kommentare

Hallo Admin-Freunde, habe ein älteres Board im Einsatz, und habe dieses mit einer SSD und Kingston Speicher aufgerüstet :-), ...

Linux
Linux auf USB-Stick Installiert - Lässt sich nicht booten
Frage von AssinoneLinux6 Kommentare

Ich habe vor kurzem eine Version von Kali Linux mit Hilfe eines bootfähigen USB-Sticks auf meinem Laptop installiert. Die ...

Windows 10
Windows 10 DVD boot
Frage von 132092Windows 104 Kommentare

Hallo Ich habe mir ein neuen Laptop zugelegt (Medion erazer p7648) Und ich möchte Windows 10 neu installieren (altes ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 1 StundePerl1 Kommentar

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 2 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 108 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless11 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Wieso kann ich den UPD 7000-9000 nicht freigeben?
Frage von Jayk0bRouter & Routing8 Kommentare

Router: Telekom W 723V Ports: UDP 7000-9000 Können nicht frei gegeben werden. Benutzgrund: Rocket League 7000 – 9000 UDP ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...