Gibt es das DAU-sichere Internet?

während des surfens fängt sich der chef sich dann viren ein, die im schlimmsten fall systemdateien ohne ende abändern. das kann das m$ toolkit dann noch abfangen? klingt nicht nach einer extrem sicheren methode.

aber ich will nicht meckern. ich kann da selber nich groß zu beitragen da es mir fast unmöglich scheint einen XP rechner soweit einzuschränken dass trotz flash, java, activex und allen exploit-schleudern es ein wunderbarer surfrechner ohne risiko bleibt. mein versuch wär vielleicht folgender:

nen zweitrechner wär perfekt, nur fürs surfen.
auf dem admin account m$ steady state auf, einen eingeschränken benutzer jegliche windows-einschränkungen des programms reinhaun, so dass nichts mehr geht ausser firefox.exe starten (auch kein iexplore.exe mehr erlauben) und dann in dem account firefox soweit einrichten, dass es zum surfen eignet. dieser eingeschränkte account wird selbstverständlich auch bei jedem neustart zurückgesetzt. aber dadurch, dass ich ihm wahrscheinlich den zugriff auf die laufwerke verbieten würde (um das ausführen von eventuell heruntergeladenen schadprogrammen zu verhindern) könnte der chef nicht groß zeug runterladen.
zum verschärfen würde ich evtl auch noch nen proxyserver einrichten und den als proxy server in firefox hinzufügen. dieser proxy verbietet dann zum beispiel den zugriff auf bekannte malware seiten (keine ahnung ob es ip-listen von bekannten seiten dieser art im internet gibt, die würde ich dann in die acl des proxies kopieren). unwarscheinlich dass der chef genau eine dieser seiten ansurft aber wenn ja kommt er jedenfalls nicht rauf.

ideal wäre dann noch folgende ergänzung:
den traffic des zweitrechner irgendwie loggen, welche seiten er besucht. also entweder die ip's der seiten oder sogar gleich mit dns namenauflösung. dann kann man die seiten bei gelegenheit mal abchecken und "böse seiten" jeglicher art, die man in dem log findet dem proxy hinzufügen. dann hat er irgendwann keine seiten mehr, die ihm schaden könnten. wobei das loggen des inetverkehrs vom chef vielleicht etwas riskant ist ;)

joah. auch da besteht das risiko dass er sich irgendwelche fatalen viren einfängt die evtl das system beschädigen aber dafür gibts ja dann mcafee enterprise oder sowas, das sollte dann schon drin sein.

bin gespannt, was es für vorschläge gibt!

Hallo Stefan,

eine andere Möglichkeit wäre der einbau ein PC-Wächter Karte.
http://www.dr-kaiser.eu/ [ca 70€ inkl. MwSt.]
Hier wird die Aktive Partition (c:\) verriegelt alle Änderungen werde beim neustart rückgängig gemacht.
Auch als Administrator.
weiterhin können jedoch auf einer nicht System Partition Daten gespeichert werden.
Hierfür gibt es auch verschiedene Monitoring Tools wobei das bei Geschäftsführern lieber nicht erwähnt werden sollte.

Grüße, Eric

Hi,

wie wärs denn mit einer Linux Live-CD?

lg,
Slainte

Linux wird wohl kaum in Frage kommen - dann müsste er ja wieder neu booten

Aber das Problem ist doch heute nacht schon angesprochen worden hier:
Virtualisierung vs. Internetsicherheit?

Sandbox-Lösung.... die IMHO einzig verwendbare Sache in dem Fall.

J.

xp in vm-ware zum surfen benutzen und regelmässig auf den basis-snapshot zurücksetzen. oder einen thin-client zum surfen benutzen.

Das banalste ist erstmal so einen User NICHT mit MS Applikationen (IE, Outlook) ins Internet zu lassen und die auch aus dem Schnellstart zu löschen, sondern z.B. mit dem Firefox und Thunderbird und die dann mit den ein oder anderen Applikationen DAU sicher machen...

EricJohn hat hier auch eine interessante lösung angesprochen, die kaiser karte. wenn man den rechner z.b. durch ein kleines schloss verriegeln kann ist ein deaktivieren dieses hardware-schutzes nur mit sehr viel kenntnissen möglich. an meiner ehemaligen it-schule, wo ich meine ausbildung gemacht habe, haben zwar ein paar cracks aus unserer klassenstufe mit selbstgeschriebenen programmen die funktion ausser kraft setzen können. der punkt, dass der pc nach jedem neustart wieder clean ist, ist jedoch sicher.

auch die angesprochene virtualisierung klingt zuverlässig.

dass kein IE genutzt wird sollte voraussetzung sein, sobald das wort 'internet' im spiel ist ;)

Die besprochenen Seiten setzen einfach den IE7 mit Flash und JS vorraus...

Eigentlich Unsinn, denn die funktionieren immer auch mit einem aktuellen Firefox, Flash und JS !!

Da weigere ich mich. Seiten, die NUR mit dem IE funktionieren, haben dann eben verloren. Wenn das jeder konsequent machen würde, würden sich die Seitenentwickler vielleicht mal überlegen, ordentlichen Code einzubauen ))

eben, wer only IE proggy macht, der ist fehl am Platze!

und zu dem Geschäftsführer:
der hat auch nichts besseres zutun oder wie?


Hamma Sache! Unbeleerbar so ein Typ!

man hilft wo man kann, bzw. wem man kann, nicht wahr.

unmöglich dieser sachverhalt aber naja, dennoch ein interessanter meinungsaustausch.

joah finished

ja okay, bischen überreagiert!

Aber trotzdem sind wir im Zeitalter, wo phishing an der Tagesordnung steht, täusche ich mich wieder?


Grüßle

wohl kaum :D

naja wenigstens fliegt der chef dann früher oder später und ein managergehalt weniger, das den staat belastet ;)

mir fällt grade noch eine lösung ein... wenn man windows xp mit dem EWF patch von windows embedded benutzt. nach dem booten werden alle änderungen ins ram geschrieben, beim reboot ist alles wieder wie vorher.
http://granturing.blogspot.com/

alternativ kann man auch FWBF benutzen und den dateipfad auf c:\ setzen.
http://www.mp3car.com/vbulletin/winnt-based/121088-guide-using-fbwf-win ...

EWF = schreibschutz gilt fürs ganze dateisystem, FWBF = gilt für dateien bzw dateipfade.