8
Gast Account erstellen der nur auf einen Ordner und den Internet Explorer zugreifen kann, nebst WinAmp und FlashPlayer für Youtube
Hallo,
ich benötige für eine öffentliche Veranstaltung ein Gastkonto für meinen Computer das nur den Zugriff auf folgende Dinge ermöglicht:
- WinAmp
- Internet Explorer (incl der gängigen Plugins wie Flashplayer/divX für Youtube)
- Leerer Desktop auf dem nur die Verknüpfungen für eben die oben genannten Progamme sind, sowie zwei Verknüpfungen zu Ordnern auf der Festplatte (incl deren Unterordner aber ohne übergeordnete Ordner öffnen zu können)
Also im Prinzip möchte ich verhindern dass sensible und sicherheitsrelevante Daten (also alles außer eben den oben genannten) nicht verwendet oder eingesehen werden können, quasi das die User einen nackten PC vorfinden mit den genannten Zugriffsmöglichkeiten.
Ich hoffe dass das ohne weiteres halbwegs möglich ist.
Vielen Dank schon mal für jede Hilfe!
ich benötige für eine öffentliche Veranstaltung ein Gastkonto für meinen Computer das nur den Zugriff auf folgende Dinge ermöglicht:
- WinAmp
- Internet Explorer (incl der gängigen Plugins wie Flashplayer/divX für Youtube)
- Leerer Desktop auf dem nur die Verknüpfungen für eben die oben genannten Progamme sind, sowie zwei Verknüpfungen zu Ordnern auf der Festplatte (incl deren Unterordner aber ohne übergeordnete Ordner öffnen zu können)
Also im Prinzip möchte ich verhindern dass sensible und sicherheitsrelevante Daten (also alles außer eben den oben genannten) nicht verwendet oder eingesehen werden können, quasi das die User einen nackten PC vorfinden mit den genannten Zugriffsmöglichkeiten.
Ich hoffe dass das ohne weiteres halbwegs möglich ist.
Vielen Dank schon mal für jede Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171355
Url: https://administrator.de/contentid/171355
Printed on: April 23, 2024 at 15:04 o'clock
8 Comments
Latest comment
Image von deinen Daten ziehen, ein frische OS mit den gewünschten programmen drauf, hinterher wieder image zurückspielen.
Das ist die sicherste Methode. Ansonsten besteht imemr die Gefahr, daß dein System geschrottet wird, Es muß nicht mal böse Absicht sein.
Alternative:
Dein gesamte Platte mit Truecrypt verschlüsseln, backup nicht vergessen und ein GastSystem von Stick/CD laufen lassen, z.B. BartPE/Win7PE oder knopix cd.
Das ist die sicherste Methode. Ansonsten besteht imemr die Gefahr, daß dein System geschrottet wird, Es muß nicht mal böse Absicht sein.
Alternative:
Dein gesamte Platte mit Truecrypt verschlüsseln, backup nicht vergessen und ein GastSystem von Stick/CD laufen lassen, z.B. BartPE/Win7PE oder knopix cd.
Hallo Norminator,
wenn die User einen quasi nackten PC vorfinden sollen, dann setze ihnen einen nackten PC vor!
Gruß
wenn die User einen quasi nackten PC vorfinden sollen, dann setze ihnen einen nackten PC vor!
Gruß
Moin.
Du kannst den Zugriff auf Dateien mit NTFS verbieten. Du kannst den Zugriff auf ausgewählte Programme mit Applocker bzw. Softwareeinschränkungsrichtlinien erlauben. Wenn Du noch Dein Betriebssystem samt Edition nennen würdest, könnte man sogar Tipps geben.
Du kannst den Zugriff auf Dateien mit NTFS verbieten. Du kannst den Zugriff auf ausgewählte Programme mit Applocker bzw. Softwareeinschränkungsrichtlinien erlauben. Wenn Du noch Dein Betriebssystem samt Edition nennen würdest, könnte man sogar Tipps geben.
Hallo norminator,
Aus Deiner Frage geht nicht hervor um welche Windows-Version es sich handelt, für Win XP gibt's "steadystate". Du kannst z.B. alle Laufwerke ausblenden und alle Programme verbieten außer den gewünschten. Und alle Änderungen durch den User sind beim nächsten Anmelden weg, also es wird nichts gespeichert.
http://www.microsoft.com/germany/protect/products/family/steadystate.ms ...
Gruß
Markus
Aus Deiner Frage geht nicht hervor um welche Windows-Version es sich handelt, für Win XP gibt's "steadystate". Du kannst z.B. alle Laufwerke ausblenden und alle Programme verbieten außer den gewünschten. Und alle Änderungen durch den User sind beim nächsten Anmelden weg, also es wird nichts gespeichert.
http://www.microsoft.com/germany/protect/products/family/steadystate.ms ...
Gruß
Markus
@lks:
Ansonsten besteht imemr die Gefahr, daß dein System geschrottet wird
wie stellst Du Dir das vor? Die Gefahr ist nicht gegeben, wenn es kein Admin ist.
Naja, wenn Internetexplorer läuft und auf youtube zugegriffen werden soll.... Um sich eine Virus einzufangen muss man kein Admin sein. Was ist wenn jemand etwas auf seinem USB-Stick anschleppt.
Gruß
Markus
Gruß
Markus
Ok, lass uns nicht lang abschweifen, war ja an LKS adressiert. Unter "System schrotten" verstehe ich nicht, einen Virus im Benutzerkonto zu installieren (welches gelöscht werden kann). Mehr kann nicht passieren, ein schwacher User kann auch mutwillig nur schwer ein Elevation of Privilege produzieren.
Was ist wenn jemand etwas auf seinem USB-Stick anschleppt.
Was soll sein? Die Anwendungen die laufen sollen sind Winamp und IE samt Flash. Viren auf USB sind nicht startberechtigt dank Applocker (Win7) oder SRP (Vista/xp).Zitat von @DerWoWusste:
wie stellst Du Dir das vor? Die Gefahr ist nicht gegeben, wenn es kein Admin ist.
wie stellst Du Dir das vor? Die Gefahr ist nicht gegeben, wenn es kein Admin ist.
Benutzer können sehr kreativ sein, sogar wenn es keine Absicht ist, und sei es nur, daß sie im falschen Moment den Stromstecker ziehen. Sollte es Absicht sein, ist man immer besser dran, daß da gar keine Daten sind, an die sie dran können.
Nachtrag:
Das Angriffszenario wurde von TO nicht genau spezifiziert. Daher gehe ich bei solchen Bedrohungsszenarien immer davon aus, daß da jemand ist, der and die Daten will oder wenn er schon die Daten nicht lesen kann, diese zerstören will. Und mit phsyikalischem Zugang ist da einiges möglich.
Wir haben früher (in den 80ern) als Studenten "Schadcode" durch die Tastatur ins System eingegeben mit den "Hackerbefehlen":
<code type =plain>
echo "Datenstring" >Bsesprgm.com
oder
copy con: bsesprgm.com
Auf ähnlich kreative Weise kann man auch exploits injizieren und dann aus dem einfachen User einen Admin machen.
Und sag mir keiner "Unsere User sind zu doof dafür". Da gibt es genug vorgefertigte Skripten.
