Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Ganze Sicherheit von XP kann umgangen werden! Abhilfe?





Frage

Hallo, ich bin heute zufällig mit Google auf folgende Seite gestoßen: [url]http://pubs.logicalexpressions.com/Pub0009/LPMArticle.asp?ID=173[/url] Laut dem Bericht kann man mit einer Windows 2000-CD oder den im Netz frei verfügbaren Windows 2000-Startdisketten (z.B. über bootdisk.info erhältlich) Vollzugriff auf Windows XP-System bekommen. Ich habe es bei meinen XP Pro SP2 (inkl. aller Updates die bis heute verfügbar sind) selbst probiert - und es klappt: Vollzugriff auf die gesamte Systemplatte - sogar mit der Rechteverwaltung geschützte Dateien lassen sich Ansehen, Bearbeiten, Löschen etc. Nun meine Frage: Was kann ich dagegen tun?! Das sichern des Zugangs zum BIOS mit Passwort und setzen der Festplatte als einziges Bootmedium bringt nichts, da man mit der Taste F11 sowieso das Bootmenü aufrufen kann und damit von Floppy oder CD starten kann. P.S.: Es handelt sich um einen Laptop den ich ab und zu auch mal verleihe. Ich habe bis jetzt alle möglichen Sicherheitseinstellungen vorgenommen - aber so eine einfache Möglichekti um in das System zu kommen ist ja mehr als kritisch anzusehen. Ich brauche eine Lösung zur Behebung des Bugs(?)! [i]<gruß thj>[/i]

Antwort 1 von TheHappyJoker

Kurzanleitung in deutsch:

- Bootdisketten von hier herunterladen http://www.bootdisk.info/modules.php?modid=1&action=show&id=37 oder (wer im Besitz einer Windows 2000-CD ist) einfach selbst erstellen
- Rechner mit den Disketten starten
- Bei der Nachfrage, was jetzt getan werden soll, einmal R und dann K drücken

Das wars auch schon, nur noch die Windows-Installation wählen, und man hat Vollzugriff auf die Platte - ohne Passwort (auch wenn der Admin eins gesetzt hat).

Das kuriose: Es klappt mit M$ eigener Startdiskette. Es sind nichtmal (evtl. illegale) Mittel nötig!

<gruß thj>

Antwort 2 von Arno_Nym

Dann sperre doch das BIOS-Bootmenü. Sollte in jedem ordentlichen BIOS möglich sein.

Arno

Antwort 3 von Tobias__Steinig

Hallo zusammen...

um dieses Problem für dich abzuwenden, brauchst du lediglich die HHD verschlüsseln, welches mit Berteibssystemeigenen Mitteln und tools geht.

Dann kann er zwar auch starten ohne das KEnnwort einzugeben, jedoch keine Datei löschen etc., da der Schlüssel (=dein Kennwort) benötigt wird.

mfg

Tobias

Antwort 4 von sutadur

Erst nach Abhilfe schreien und dann noch genauestens beschreiben, wie es funktioniert, macht Dich nicht glaubwürdig. Darüber hinaus kann man dagegen nichts machen. Kein System läßt sich 100% absichern. Also zerbrich Dir nicht den Kopf über Lösungen, die es nicht gibt.

Antwort 5 von Arno_Nym

Im Prinzip kommt man ja IMMER an die Daten ran, wenn der PC/Notebook in fremde Hände fällt (man braucht schließlich nur die Platte an einem anderen System anschließen).

(Relativ) sicher bei Diebstahl sind deine geheimen Daten nur, wenn sie verschlüsselt werden oder die Platte selbst kennwortgeschützt ist.

Arno

Antwort 6 von Arno_Nym

Hätte schneller schreiben sollen ;-)

Arno

Antwort 7 von TheHappyJoker

Hallo,

es ist ein PhoenixBIOS und auch durch das setzen eines Supervisor-Passwortes kann man das Aufrufen des Bootmenüs nicht verhindern (dadruch kommt man halt nichtmehr BIOS ohne Passwort).

<gruß thj>

Antwort 8 von Tobias__Steinig

Davon abgesehen bringt ein BIOS Passwort mal garnix, da die Baterie in 10 Sek getauscht ist und das Passwort somit reset bekommen hat.

Also es hilft in der Tat nur eine Verschlüsselung und die volle Bandbreite der NTFS Rechtevergabe zu nutzen!!!

mfg

Tobias

Antwort 9 von TheHappyJoker

@sutadur:

Damit man weiß wie man sich schützen kann, sollte man erstmal wissen, wie jemand auf das System zugreifen kann - außerdem kann man es auf der von mir geposteten Seite genausogut nachlesen (dauert halt länger, weil 1. Englisch und 2. nicht wirklich knapp beschrieben und sich der Autor dauernt in banalen Dingen wiederholt).

Ich weiß, dass man ein System niemals zu 100% absichern kann, aber man muss doch wenigsten dass absichern können wan an Lücken bekannt ist, oder? Sonst ergeben doch alle möglichen Sicherheitskonzepte keinen wirklichen Sinn.

<gruß thj>

Antwort 10 von Arno_Nym

Du solltest zusätzlich zum BIOS-Kennwort das BIOS-Bootmenü SPERREN. Also den Aufruf des Menüs im BIOS-Setup verhindern.

Das Rücksetzen durch Entfernen einer Batterie funktioniert übrigens bei modernen Notebooks meist nicht mehr.

Arno

Antwort 11 von TheHappyJoker

@Arno_Nym:

Das lässt mein BIOS leider nicht zu. Eigentlich ahbe ich das auch noch auf keinen anderen Rechner gesehen, dass dies möglich ist. Auf meinen Desktop mit Award BIOS 6.0 geht dies auch nicht.

<gruß thj>

Antwort 12 von sutadur

Das mag richtig sein, aber letztlich sollte man auf Rechnern, die man verleiht, auch keine sensiblen oder wichtigen Daten ablegen.

Zitat:
... dauert halt länger ...

Eben. Und genau das wird den einen oder anderen abhalten, es auszuprobieren. Noch dazu würden viele gar nicht erst auf den von Dir o.g. Link kommen, wenn man sie nicht explizit drauf hinweist. Überhaupt denke ich, dass wir in diesem Bereich weit weniger Probleme hätten mit Hackern, Viren usw., wenn irgendwelche Bugs oder sicherheitsrelevante Fehler nicht immer in der Öffentlickeit breitgetreten werden.

Antwort 13 von TheHappyJoker

Und mit den AMI BIOS 7.0 ist dies auch nich möglich...

Was hast Du für ein BIOS?

<gruß thj>

Antwort 14 von TheHappyJoker

Zitat:
Überhaupt denke ich, dass wir in diesem Bereich weit weniger Probleme hätten mit Hackern, Viren usw., wenn irgendwelche Bugs oder sicherheitsrelevante Fehler nicht immer in der Öffentlickeit breitgetreten werden.


Ich glaube da liegst Du falsch. Gerade dies führt doch eigentlich zu Problemlösungen (mal abgesehen von Firmeneigenen Methoden Probleme zu lösen und Sicherheitslücken zu schließen).

<gruß thj>

Antwort 15 von TheHappyJoker

Was die Verschlüsselung angeht: Nett Idee, aber ich kann ja schlecht den ganzen Programm- und Windowsordner verschlüsseln, weil dann nur der User Zugriff darauf hat, der die Verschlüsselung vergeben hat.

Normale User mit Benutzerrechten katapultiere ich damit selbst raus...

Es geht mir ja nicht allzusehr um "Datendiebe", sondern auch um Spaßvögel die z.B. ein paar wichtige Sytemdateien löschen könnten.

<gruß thj>

Antwort 16 von Tobias__Steinig

Da muss ich dir leider mitteilen, dass dir da nur eib backup hilft, bzw. könntest du die Datein auch im DLL Cach lagern, und somit den Spaßvögeln erstmal den wind aus den Segeln nehmen. Aber wenn sie es drauf anlegen dann können sie die Datein immer löschen!!! Also Backup machen...


mfg

Tobias

Antwort 17 von Stefanowski

1. Diejenigen die sich das Ding bei dir ausleihen dürfen solltest du darauf hinweise, dass sie solchen Unsinn bitte bleiben lassen. Wenn sie das Notebook weiterhin von dir nutzen wollen, werden sie sich daran halten.

2. Falls du den Leuten nicht vertraust dann gib dein "bestes Stück" halt nicht her.

3. Notebook-Platte vor dem Ausleihen spiegeln (Drive Image, Ghost oder ähnliches) und nach der Rückgabe fix Image wieder zurückspielen. Dauert in der Regel nur 5-10 Minuten je Vorgang. Dann können die Leute zerschießen was sie wollen - der zuvor vorhandene Zustand ist rasch wieder hergestellt.

Gruß Stefan

Antwort 18 von LOL_LOL

1) bios-passwort
(erste kleine hürde)

2) kompl. notebook verschlüsseln - z.b. mit compusec
(da kann auch jemand die festplatte ausbauen - kein rankommen an die daten. auch kein zugriff über bootdisk o.ä. möglich)

3) gruppenrichtlinieneditor und los gehts. richte benutzer ein und nutze die ganzen möglichkeiten, die dir xp hier bietet
(wer kein recht auf systemdateien hat, kann dies auch nicht löschen)

so, nun sind wohl ein paar tage vorbei, aber das ergebnis auf deinem notebook dürfte sich sehen lassen können.

Antwort 19 von Nicolas

Ähm wiso ist denn jemand überrascht? es ist doch normal das wenn man von nem anderen System startet den Inhalt der Festplatte lesen kann (also wichtiges oder alles verschlüsseln )
Das geht zb auch mit ner Knoppix cd oder mit allen anderen bootmedien deren System ntfs lesen kann.

Man kann die Platte auch ausbauen und woanders wieder einbauen. Dateiberechtigungen wirken ja auf Systemebene und nicht auf Hardware. Wer Physikalischen zugang zum Rechner hat kann halt alles und das war schon immer so.

Antwort 20 von sasch

kern des problems ist windows. nimm solaris 10 für x86. das sollte deinen anforderungen genügen. auch ein astaro-secure-linux sollte reichen. schlußendlich läßt sich jedes unix (linux, solaris, aix, hpuix...) sicher konfigurieren, was jedoch mit aufwand verbunden ist.

Antwort 21 von @franky

Nimm doch gleich ne Knoppix CD
Lösch die Festplatte, und drück jeden User eine Knoppix CD in die Hand mit einer Diskette oder USB Stick für seine Pesönlichen Daten.
Dann bist du auf der Sicheren Seite.
MfG. franky

Antwort 22 von TheHappyJoker

@sasch:

Naja Solaris 10 hab ich schon per VMWare probiert - ist nicht so mein Fall. Ich könnt jetzt auch über andere Unix-Derivate plaudern, aber kurz: Windows soll schon drauf bleiben.

<gruß thj>

Antwort 23 von Tobias__Steinig

Auch ein Linux oder Solaris hat seine Hintertürchen durch die man rein kommt wenn man ein bisschen Ahnung und "kriminelle" Ernergie hat. Wer dich ärgern will, der wird dich ärgern, so ist das bei jeglicher Sopftware nun mal!!

mfg

Tobias

Antwort 24 von sasch

windows und sicherheit ist nunmal ein widerspruch in sich. aber ohne windows gäbe es keine hersteller von antvirensoftware und viele arbeitsplätze fielen weg.

Antwort 25 von Bertll

Meine Firma verleiht auch Laptop´s an diverse Kunden,
Euro 16,50.- pro Tag und Euro 500.- beträgt die Kaution.

Alle Notebooks die zurück gegeben werden,
werden mit einem Ghost-Backup neu bespielt,
egal was vorher drauf war!

Also somit ist es wurscht, was der Kunde mit dem Teil anstellt!!

Antwort 26 von Arno_Nym

@sasch
Wie verhinderst du, daß jemand die Daten von der Festplatte bei den von dir angesprochenen Systemen ausliest?

Arno

Antwort 27 von Arno_Nym

@TheHappyJoker
Ich habe hier Phoenix-BIOS (Büro-PCs) und dort ist das Boot-Menü zu finden unter:
Main - Boot Options - Boot Menu: [enabled/disabled]

Ein Beispiel-Notebook hab ich grad nicht in Griffweite. Müßt ich noch mal schauen...

Arno

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: