DenisevanHoorn 0 Geschrieben 6. November 2019 Autor Melden Teilen Geschrieben 6. November 2019 @daabm: Wir haben gestern eine Firewall ausprobiert (Comodo), die man mit Passwort schützen kann. Alle Versuche unter dem 2. Admin-Account Zugang zum Netz zu bekommen, scheiterten, weil die Firewallanwendung auch sofort Alarm schlug und den Einstellungsversuch nicht zuliess. So weit, so gut. Vollkommen b***d ist, dass Comodo weder unattended installiert werden kann, noch kann man es mittels Script steuern. Na gut, diese Kröte würden wir schlucken. Auch ZoneAlarm kann man mittels Passwort schützen. Vielleicht auch unattended installieren und per Script steuern. Das würde uns die Arbeit sehr erleichtern und die Nutzung dieser Geräte vollumfänglich möglich machen. Nun sind wir sicher wieder bei "Hashcode" tauschen, Eingriff in Registry möglich usw. Aber wie ich schon eingangs schrieb: wenn eine entsprechende kriminelle Energie und das Fachwissen vorhanden ist, knack ich jedes System. Aber es geht uns darum, die Hürden so hoch wie nur möglich zu legen. Alternativ fiel uns auch ein, das Betriebssystem zweimal zu installieren und in einer der beiden Installationen Manipulationen vorzunehmen, wie sie hier schon vorgeschlagen wurden (Sperren von Anwendungen, verbiegen der Namensauflösung, setzen von Policies etc.). Auch das hätte durchaus Vorteile wie Nachteile... Aufwand und Nutzen... Hat jemand vielleicht noch eine bessere Alternative zu Comodo oder Zonealarm? Einstellungen müssen aber per Passwort geschützt werden können. Ich möchte mich aber ganz herzlich für die vielen Vorschläge bedanken. Wir sind noch in der Entscheidungsphase und werden erst einmal zwei Geräte unterschiedlich einrichten und schauen, welches die bessere Alternative ist und die größtmögliche Flexibilität bietet. Grüße, Denise Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. November 2019 Melden Teilen Geschrieben 6. November 2019 (bearbeitet) Also von irgendwelchen zusätzliche Firewalls würde ich tunlichst abraten. Das bringt in aller Regeln nur Probleme. Eher früher wie später. Windows bringt eine excellente Filter-Engine mit. Man muss sich nur etwas einarbeiten. Schützen kann man theoretisch die Reg-Hives wo die Firewall-Richtlinien abgelegt werden indem die Änderungsberechtigungen für Admins entzogen wird und zbsp. einer speziellen Gruppe zugewiesen wird. Da ist dann die gleiche kriminelle Energie notwendigt wie für das tauschen eines Passwort-Hashes. Die Firewall-Polcies bfinden sich unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess Im Subreiter Parameters>FirewallPolicy>FirewallRules liegen die benutzerdefinierten, in der GUI angezeigten Regeln Im Subreiter Parameters>FirewallPolicy>RestrictedServices>Configurable liegen wie der Name schon sagt konfigurierbare Regeln (CMD/Powershell), sind aber in der GUI unsichtbar Im Subreiter Parameters>FirewallPolicy>Static liegen die die statischen Regeln, die weder per GUI noch per CMD verändert noch angezeigt werden können (Nur direkt in der Registry) Ich meine im November Build von 2018 kam dann noch ein spezieller Subkey für APP-Container dazu. Genauer Pfad weiss ich aber nicht grad auswendig. EDIT: Wer genug Zeit hat, kann mal spasseshalber W7/W8.1/W10 in versch. Editionen mit einander Vergleichen. Ziemlich "interessant". Kommt man auf die Idee System/TI die Write-Berechtigungen zu entziehen, muss dazu gesagt werden, das W10 nicht happy damit ist wenn man System und TI die Kontrolle über diese Hives wegnimmt und z.Bsp. einer speziellen Gruppe zuweist. Das Problem: Wenn sich ein Benutzer der noch kein Profil auf diesem Rechner hat anmeldet, schlagen die App-Installationen fehl, weil die Erstellung der Firewall-Freipässe für die Apps fehlschlagen. Das ist zwar ein äusserst wirksames und simples Mittel um sämtliche App-Installationen (Auch System-Apps) zu verhindern, allerdings hat man dann lediglich einen funktionierenden Desktop aber keine Taskleiste, Infobereich, Startmenü, Suche etc. Quasi Windows 3.11 Style =) Aber wie gesagt, schaut, dass gar keine Admin-Rechte zum arbeiten notwendig sind. Windows bietet relativ viele Mittel dafür. Diese Zeit/Geld ist eigentlich sowieso immer gut investiert. bearbeitet 6. November 2019 von Weingeist 1 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 6. November 2019 Melden Teilen Geschrieben 6. November 2019 Hi, evtl. ist z.B. der Least Privilige Manager aus dem Policy Pak ein Ansatz die Adminrechte loszuwerden: https://www.policypak.com/products/least-privilege-manager.html Gruß Jan Zitieren Link zu diesem Kommentar
DenisevanHoorn 0 Geschrieben 7. November 2019 Autor Melden Teilen Geschrieben 7. November 2019 (bearbeitet) So, ich habe es weitgehend so gelöst, dass die Hürde nun schon recht hoch ist. Wenn's nun einer schafft, dann hat er tiefere Kenntnisse, das ist bei unseren Leuten aber nicht zu erwarten. :) Wir haben Eurem Rat folgend auf die weitere Installation einer Firewall verzichtet, stattdessen Änderungen in der Registry vorgenommen. Zum einen wurden die vererbten Rechte der Schlüssel verändert, zum anderen die Gruppen "Administratoren" und "Benutzer" entfernt. Lediglich "Administrator" hat noch Zugriff auf die Schlüssel der zu startenden Treiber. Durch setzen des Wertes "4" im Schlüssel "Start" haben nun die entsprechenden Treiber alle ein Ausrufezeichen und nur "Administrator" ist in der Lage, das einfach und mittels (aktuell) einer REG-Datei zu ändern. Damit hilft auch die "Problemlösung" nicht mehr. Dem "System" haben wir die Berechtigung noch gelassen, überlegen derzeit, ob wir diese Berechtigung auch entfernen, damit man nicht über ein anderes Tool sich Systemrechte verschaffen kann. Ggf. reichen Nur-Leserechte vielleicht auch aus. Hier kommt die Batchdatei im Ganzen. Sie befindet sich noch im Entwicklungsstadium und kann bestimmt noch Verbesserungen vertragen. :: Vererbungen entfernen, Berechtigungen kopieren SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn setprot -op "dacl:p_c;sacl:p_c" :: Benutzer Administrator für die Keys berechtigen SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn ace -ace "n:Administrator;p:full,enum_subkeys" :: Benutzergruppen Administratoren und Benutzer entfernen SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\Killer Network Service" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\KillerEth" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\BTHUSB" -ot reg -actn trustee -trst n1:"Benutzer";s1:n;ta:remtrst;w:dacl" SetACL.exe -on "hklm\SYSTEM\CurrentControlSet\Services\vwifibus" -ot reg -actn trustee -trst n1:"Administratoren";s1:n;ta:remtrst;w:dacl" REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Killer Network Service" /v "Start" /t reg_dword /d "00000004" /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KillerEth" /v "Start" /t reg_dword /d "00000004" /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHUSB" /v "Start" /t reg_dword /d "00000004" /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vwifibus" /v "Start" /t reg_dword /d "00000004" /f "Killer Network Service", "KillerEth", "BTHUSB" (Bluetooth), und "vwifibus" sind die Treiber für die Netzwerkkarte. Blauzahn und WiFi. Für Hinweise auf Fehler, und Anregungen bin ich sehr dankbar. Ich setze das Thema auf "Gelöst" :) Nochmals Dank an alle! Denise EDIT: Hm... ich kann es leider nicht auf "Gelöst" setzen... :( bearbeitet 7. November 2019 von DenisevanHoorn Nachtrag Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 12. November 2019 Melden Teilen Geschrieben 12. November 2019 Jetzt fehlt nur noch das Primärziel: Admin-Rechte für die tägliche Arbeit unnötig machen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.