Jump to content

XP - IP Stack Versiegeln?

warbird001

Von warbird001
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

warbird001 Rising Star

warbird001   10

Geschrieben
Geschrieben

Hallo Alle

 

Kennt jemand eine Moeglichkeit den IP-Stack von Windows XP zu

"Versiegeln" ?

 

Ich denke da an eine Art Checksumme nach deren Erstellung

eine Aenderung an der IP Konfiguration zwar moeglich ist,

die danach aber auch beim Ruecksetzen auf die alte IP nicht mehr

den gleichen Wert hatt wie bei der ersten Ueberpruefung.

 

mfg

Stefan:wq

Link zu diesem Kommentar
warbird001 Rising Star

warbird001   10

Geschrieben
  • Autor
Geschrieben
Hi.

 

Was genau hast du damit vor?

 

Damian

 

Es geht um einen Rechner auf dem ein Nutzer volle Admin Rechte haben soll.

Der Rechner soll nicht Teil der Domaene sein. Er ist auf von der

Verkabelung her aber auf dem gleichen Netz wie die Domaene.

 

Wirklich verhindern das da einer Mist Veranstaltet kann ich wohl kaum.

 

Auf der anderen Seite koennte es ausreichen wenn ich genau weiss das

einer an den IP Einstellungen gedreht hatt. Versuch ist Strafbar!

 

Sobald ich das mitbekomme wuerde ich den Rechner einfach "per Hausordnung"

einkassieren und den Platz lamlegen, eben solange wie eine Neuinstallation des

Rechners dauert.

Beim Nachweis das da einer an der IP Config gedreht hatt muss ich mir

allerdings sicher sein.

 

mfg

Stefan:wq

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

da windows die Settings nicht wie ein Linux z. B. in einem config file ablegt wird es meiner Meinung nach schwer das zu prüfen - zumal du gegen einen lokal admin eh nichts machen kannst. Wenn er wirklich was drehen will dann kann er das! Wenn er unebdingt in ein anderes Segment will (was auch immer das bringen soll) dann könnte er das auch mit VMWare etc. auf dem Host erreichen.

 

Wenn du den Jungs mit den Maschinen nicht vertrauen kannst oder willst dann bleibt dir meiner Meinung nur die Möglichkeit Ihnen ein eigenes Netz (pysisch oder als sparlösung mit vlans) zu geben...

 

Gruß

Link zu diesem Kommentar
warbird001 Rising Star

warbird001   10

Geschrieben
  • Autor
Geschrieben
Hallo,

 

wozu soll der Benutzer volle Adminrechte haben? Was ist unter vollen Adminrechten zu verstehen? Was braucht, soll, will der Benutzer wirklich?

 

Tja, wenn die das mal so genau wuessten....

Flexibel auf die Wuensche der "Kunden'" Reagieren.

Lehrer....

 

"Einzelplatz mit Internet Anschluss und der Moeglichkeit Software nach eigenem

Ermessen zu Installieren" bringt es wohl am einfachsten auf den Punkt.

 

Ohne Anschluss ans Hauptnetz ist aber kein Internet moeglich.

Ein Physikalische Netztrennung ist nicht moeglich.

 

mfg

Stefan:wq

Link zu diesem Kommentar
warbird001 Rising Star

warbird001   10

Geschrieben
  • Autor
Geschrieben
Hi,

 

da windows die Settings nicht wie ein Linux z. B. in einem config file ablegt wird es meiner Meinung nach schwer das zu prüfen - zumal du gegen einen lokal admin eh nichts machen kannst. Wenn er wirklich was drehen will dann kann er das! Wenn er unebdingt in ein anderes Segment will (was auch immer das bringen soll) dann könnte er das auch mit VMWare etc. auf dem Host erreichen.

 

Wenn du den Jungs mit den Maschinen nicht vertrauen kannst oder willst dann bleibt dir meiner Meinung nur die Möglichkeit Ihnen ein eigenes Netz (pysisch oder als sparlösung mit vlans) zu geben...

 

Gruß

 

Vlan? Die Hardware hier ist selten vlan Faehig.

 

Oder meinst du RAS-VPN (PPTP / L2TP) ?

Bei meinen bisherigen Ueberlegungen habe ich das verworfen da ich zum

Schluss kam das man daraus mit localen Admin Rechten ausbrechen kann.

Das eigentliche Hauptnetz ist unverschluesselt.

 

Aber je laenger ich darueber Nachdenke, wenn wirklich einer an der

Netzwerkkonfig Schraubt und Ausbricht muss nur sichergestellt sein das er den

Urspruenglichen Zustand nicht wiederherstellen kann.

 

Koennte man das mit Zertifikaten (L2TP) bewerkstelligen?

Dann koennte das vielleicht der richtige Weg sein.

 

mfg

Stefan:wq

Link zu diesem Kommentar
Damian Grand Master

Damian   1.533

Geschrieben
Geschrieben

Hi.

 

Und was hat das jetzt mit dem Thema "Überwachung der TCP/IP-Einstellungen" zu tun?

Sollen das Arbeitsplätze für Schüler werden? Mit Internetzugang, volle Berechtigungen zum Installieren von Software, dürfen aber nicht an die IP-Einstellungen dran? :confused:

 

Mal anders herum gefragt: welchen Unfug könnten die betreffenden User theoretisch anstellen, wenn sie die IP-Einstellungen ändern? Und wieso kann man das nicht an anderer Stelle neutralisieren, z. B. durch Berechtigungen? :suspect:

 

Damian

Link zu diesem Kommentar
warbird001 Rising Star

warbird001   10

Geschrieben
  • Autor
Geschrieben
Hi.

Und was hat das jetzt mit dem Thema "Überwachung der TCP/IP-Einstellungen" zu tun?

Sollen das Arbeitsplätze für Schüler werden?

So ungefaehr, ja.

 

Mit Internetzugang, volle Berechtigungen zum Installieren von Software, dürfen aber nicht an die IP-Einstellungen dran? :confused:

 

Mal anders herum gefragt: welchen Unfug könnten die betreffenden User theoretisch anstellen, wenn sie die IP-Einstellungen ändern? Und wieso kann man das nicht an anderer Stelle neutralisieren, z. B. durch Berechtigungen? :suspect:

Damian

 

Sie koennten z.b ihrem Rechner die IP Adresse des DC oder des

Hauptfileservers zuweisen.

Viren, Trojaner und aehnliche Schaedlinge sind gerade wegen der

Adminrechte auch so eine Sache.

 

Der Lehrer der fuer das ganze Zustaendig ist hatt wenig bis keine Ahnung von

der Materie. Die Schueler wechseln zudem haeufig.

 

mfg

Stefan:wq

Link zu diesem Kommentar
Damian Grand Master

Damian   1.533

Geschrieben
Geschrieben

Hi.

 

Das Konstrukt, dass du dort vorhast - bzw. dass die Lehrer sich wünschen - wird nicht funktionieren.

 

Die Schüler bekommen volle Berechtigungen inkl. Internetzugriff. Damit ist das gesamte Netzwerk zum Abschuss freigegeben. Die simple Überwachung, ob jemand an den LAN-Einstellungen rumgespielt hat um ihn dann mit "PC-Entzug" zu strafen, wird nichts bringen.

 

Die Schüler haben die Möglichkeit, "Bockmist" zu bauen - also wird die Chance garantiert von einigen wahrgenommen. Auch eine Abstrafung hinterlässt keinen Eindruck. Bei wechselnden Benutzern/Schülern wird das sogar noch öfter passieren.

 

Im Endeffekt wird eine Menge Zeit und Arbeit darauf verschwendet, das Netzwerk ständig zu reparieren.

 

Was deine Kunden brauchen, ist ein völlig neues Konzept.

 

Damian

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

VM bringt nichts, damit könnten Sie weiterhin in das Netz und z. B. den DC "belästigen".

 

Die einzige Möglichkeit die mir hier spontan einfällt wäre ein direktes Kabel zum Internetrouter oder Switch. Der Port dort sollte durch ein VLan (ist nicht 1000% aber kostengünstig) vom restlichen Netz getrennt werden.

 

Zudem würde ich dir eine RebornCard empfehlen. Dann können die Lehrer und Schüler zwar muter alles Installieren was sie brauchen aber nach einem Reboot ist das System wieder schön sauber und so wie du es aufgesetzt hast... Sonst kannst du die Maschine nämlich alle 2 Tage neu installieren... Zu kaufen gibts das Teil z. B. hier: http://www.shop.mcseboard.de/

 

Viele Grüße

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...