knowon
Goto Top

IP sperren?

Hallo,

wüsste gerne, ob man die IP eines Win 10 PC sperren kann?

Einfach ausgedrückt: Ich ändere die IP in eine statische, die dann nicht vom PC User wieder geändert werden kann.

Der User soll Admin bleiben.

Gibt es evtl. ein kleines Utility, passwortgeschützt?

Oder keine Chance?

Vielen Dank.
Heiko

Content-ID: 339288

Url: https://administrator.de/contentid/339288

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

SlainteMhath
SlainteMhath 30.05.2017 um 13:40:26 Uhr
Goto Top
Moin,

Der User soll Admin bleiben.
=> keine Chance?

lg,
Slainte
SeaStorm
SeaStorm 30.05.2017 um 13:41:01 Uhr
Goto Top
Hi

du kannst z.B per GPOs auch admins den Zugang zu der Netzwerkumgebung etc nehmen.
Allerdings hindert das einen versierten User nicht daran, das ganze wieder einzublenden/rückgängig machen, weil Adminrechte hat er ja.

Sobald du jemandem Admin gibst, steht ihm alles offen. Zwar kannst du alles mögliche ausblende oder sperren, durch seine Rechte kann er das allerdings alles Rückgängig machen, wenn er nur hartnäckig genug bohrt
BassFishFox
BassFishFox 30.05.2017 um 13:42:16 Uhr
Goto Top
Hallo,

Der User soll Admin bleiben.

Nein. Es wird immer einen Weg geben fuer den Usewr die IP zu aendern oder alle "Tricks" rueckgaengig zu machen die ihn am Aendern hindern sollen.

Erklare mal was Du vor hast.

BFF
certifiedit.net
certifiedit.net 30.05.2017 um 13:42:46 Uhr
Goto Top
Hallo Heiko,

nein. Warum soll der Nutzer denn admin sein? Mangelhaftes Rechtemgmt?

VG
ashnod
ashnod 30.05.2017 um 13:46:15 Uhr
Goto Top
Moin ...

Also mal ehrlich, du willst jemanden Admin-Rechte auf einem PC geben dem du aber nichtmal erlauben möchtest die IP-Adresse zu ändern.

Sorry, aber das ist ein sehr "ungewöhnliches" Sicherheitskozept.

VG
Ashnod
SeaStorm
SeaStorm 30.05.2017 um 13:50:55 Uhr
Goto Top
Zitat von @ashnod:

Sorry, aber das ist ein sehr "ungewöhnliches" Sicherheitskozept.

Wenn ein User Adminrechte hat, ist das Sicherheitskonzept 3x täglich zum heiligen Backup zu beten und mehrmals täglich die Rechner mit Schlangenöl einreiben
knowon
knowon 30.05.2017 um 14:12:30 Uhr
Goto Top
WOW...hier ist ja richtig was los...face-smile Danke.

Ich möchte die Internetnutzung begrenzen. In der Fritzbox ist das ja sehr leicht zu umgehen...und wird bereits auch gemacht...face-sad

Der Zugriff erfolgt über ein Kabelmodem (mit WLAN-Funktion). Somit soll das Handy mehr Zeit bekommen als der PC. Es ist aber ja kinderleicht, die IP vom Handy in den PC einzutragen...und ne PS4 gibt es auch noch.

VG
Heiko
SeaStorm
SeaStorm 30.05.2017 um 14:22:06 Uhr
Goto Top
Kann eine Fritte nicht nach MAC Adressen solche Regeln aufbauen?
knowon
knowon 30.05.2017 um 14:29:52 Uhr
Goto Top
Nach meiner Kenntnis kann die Fritzbox das nicht. Sie kann nur unbekannte MAC Adressen über WLAN sperren.

Und Tante Google verrät auch das Ändern der LAN-MAC -Adresse zu schnell...face-wink
ashnod
ashnod 30.05.2017 um 14:32:21 Uhr
Goto Top
Dann schau mal hier ... die kann eine Menge mehr die Fritte

https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...

mit zusätzlicher Software kannst du die Steuerung sogar nach den Nutzern auf dem PC einrichten.

https://avm.de/service/downloads/?product=FRITZ%2521Box%2BFon%2BWLAN%2B7 ...

Weshalb jemand dem du nicht über den Weg traust Admin-Rechte bekommt erschließt sich mir trotzdem nicht.

Ashnod
Penny.Cilin
Penny.Cilin 30.05.2017 um 14:34:09 Uhr
Goto Top
Zitat von @knowon:

Hallo,
Hallo,

wüsste gerne, ob man die IP eines Win 10 PC sperren kann?
das sind ein bißchen wenig Informationen.
Ist das Home premium, Professional, oder Enterprise?
Ist der PC in einer Domäne?

Einfach ausgedrückt: Ich ändere die IP in eine statische, die dann nicht vom PC User wieder geändert werden kann.

Der User soll Admin bleiben.
Wenn nur eine Arbeitsgruppe verwendet wird, funktioniert es nicht.
Bei Nutzung einer Domäne, kann man diverse Einstellungen sperren.

Gibt es evtl. ein kleines Utility, passwortgeschützt?

Oder keine Chance?

Vielen Dank.
Heiko

Gruss penny.
SeaStorm
SeaStorm 30.05.2017 um 14:48:44 Uhr
Goto Top
wie schon mehrfach geschrieben wurde, ist es mit Adminrechten + Tante Google schlicht immer möglich, sich um irgendwelche Schutzmechanismen zu mogeln.

Ich gehe mal davon aus, das es sich hier um ein privates Heimnetz handelt. Solange die erzieherischen Maßnahmen nicht greifen, hilft schlicht NICHTS. Selbst wenn du den Kindern(?) den Admin nimmst, kommt das gewillte Balg mit externen Tools wieder an diese Rechte dran.

Also erst mal Adminrechte wegnehmen, erklären, das sie den Unfug zu lassen haben und bei Zuwiderhandlung wird das LAN-Kabel geschwungen...
knowon
knowon 30.05.2017 um 14:56:08 Uhr
Goto Top
Auf die schnelle fällt mir da ein...

wenn ich jedem Gerät:

1. Internetseiten sperre bzw. welche ausschließlich aufgerufen werden dürfen

und

2. welche Netzwerkanwendungen (z.B. Online-Spiele) gesperrt sind

ist es ja egal, ob die Fritzbox das "richtige" Gerät identifiziert.

Also, wenn ich für das Handy Onlinespiele unterbinde, kann die IP ja ruhig in den PC eingegeben werden.

Muss mal testen...face-smile
knowon
knowon 30.05.2017 um 15:01:43 Uhr
Goto Top
@ penny

Danke für die Info. Aber das geht mir zu weit in die Tiefe...ist ganz einfaches privates Heimnetz, ohne Domäne, Switch oder sonst was...face-smile
Also auch nur eine Arbeitsgruppe.

VG Heiko
knowon
knowon 30.05.2017 um 15:10:04 Uhr
Goto Top
Hallo SeaStorm,

stimmt alles. Trotz kompletter zeitlicher Internetsperre wiederholte Täuschungsversuche...face-wink

Aber Whatsapp und Nutzung des Internet für Schule über längere Zeit sperren? Will ich nich.

Die PS4 war schon ein paar Wochen auf der Arbeit unter Verschluss.

Wollte nur die Hürde etwas höher legen, dann wird die Sanktion auch höher...face-sad face-smile

VG
Heiko
Penny.Cilin
Penny.Cilin 30.05.2017 um 15:15:37 Uhr
Goto Top
Dann wirst Du es nicht umsetzen können.

Den ein Admin ist ein Admin, ist ein Admin....

Und ein Administrator kann sich aufgrund der Berechtigungen Zugriff verschaffen.
Da gibt es im Heimnetz keine Ausnahme.

Frage:
Warum muss der Anwender administrative Berechtigungen haben?
Erkläre Dich...

Grundsätzlich gilt:
Vergebe die Berechtigungen so restriktiv wie möglich.
Alles andere ist kontraproduktiv, was die Sicherheit angeht.


Gruss Penny.
Herbrich19
Herbrich19 30.05.2017 um 15:23:02 Uhr
Goto Top
Hallo,

Das Problem bei Windows ist dass man nicht mal umbedingt Admin sein muss, man kann durch überschreiben der Eingabehilfen mit einer CMD mit Systemrechten arbeiten und der Admin ist Jesus aber NTAUTORITÄT ist Gott face-smile

So, wen man trotzdem nur Admin Rechte hat kann man sich frei in der Registry bewegen und nahe zu alle GPO,s werden in der Registry angewendet (GPO = Änderung der Registry) und wen Admin weiß wo und was geändert wird kann er es auch selbst ändern. Gut, die GPO wird in der regel nach jeden Login / PC-Start angewendet aber man kann es mit 3 Klicks wieder aushebeln (Zuvor erstellte REG Datei öffnen -> UAC JA -> Reg Importieren Ja) und dann hat Admin wieder zugriff auf die Netzwerk Karte.

Weiter hin gibt es auch noch dass Tool netsh wo mit man nahe zu jede Netzwerkeinstellung ändern kann. Die Frage die sich mir stellt ist warum man den User Admin Rechte geben will.

Gruß an die IT-Welt,
J Herbrich
SlainteMhath
SlainteMhath 30.05.2017 um 15:41:17 Uhr
Goto Top
Die Frage die sich mir stellt ist warum man den User Admin Rechte geben will.
Ich schätze, es handelt sich bestimmt um die Smartphones, PS4 und PCs/Laptops seiner Kinder face-smile

@knowon
Pro-Tipp: IP- und Webseiten sperren eigenen sich nicht als Erziehungsmaßnahmen... schmeiss mal die Forensuche an, das Thema haben hier wir mindestens alle zwei Wochen mal...
117471
117471 30.05.2017 um 17:14:03 Uhr
Goto Top
Hallo,

man könnte den ganzen Krempel z.B. an einen bestimmten Switch hängen und den via Router anschließen. Und die Patchkabel mit Sekundenkleber in den Dosen befestigen. Die Policy etabliert man dann im Router...

Bitte nicht lachen - das habe ich mir schon von einem stolzen Düsentrieb vorführen lassen face-smile

Was ich bei derartigen "Anfragen" immer schade finde, dass mit aller Gewalt versucht wird, Probleme technisch zu lösen, die eigentlich zwischenmenschlich gelöst werden soll(t)en. Wenn es darum geht, das eigene Baby zu wickeln, würde niemand einen Roboter beauftragen. Wenn es aber darum geht, den Kindern eine gewisse Medienkompetenz zu vermitteln beschränkt man sich "nach Möglichkeit auf etwas, wo man nur einmal klicken und nie wieder drüber nachdenken muss"...

Gruß,
Jörg
Herbrich19
Herbrich19 30.05.2017 um 18:05:29 Uhr
Goto Top
Hallo,

So mazialisch muss es dann doch nicht sein aber mach auf den Switch einfach eine neue ACL die nur einer IP zugriff auf den Router erlaubt oder jetzt kommst noch besser. Konfiguriere überall Statische ARP Einträge so dass das ändern der IP schwieriger wird. Wo bei man müsste den Switch dann noch beibringen diese MAC nicht mit anderne IP,s zu assoziieren.

Gruß an die IT-Welt,
J Herbrich
knowon
knowon 30.05.2017 um 21:57:44 Uhr
Goto Top
Puuuuhhhh...vielen Dank für die ganzen Infos.

@penny

Weil ich dem Anwender nichts weiter entziehen möchte, sondern nur die Internetnutzung am PC begrenzen.

Windows würde doch ständig nach dem Admin-Passwort fragen, wegen Updates, ebenso andere Software, auch bei Installationen...

@J Herbich

Wenn ich auch nicht alles verstehe, was du geschrieben hast, braucht man dann aber doch etwas mehr Wissen...dieses Wissen müsste sich angeeignet werden, das kann dauern...wäre aber ja schon anzuerkennen, wenn es geschafft wird...face-wink

Ansonsten wie bei @penny geschrieben.

@SlainteMhath

Stimmt, geht um die Kids.
Gehe ich nicht mit konform. Um die nächste Hürde zu knacken, bedarf es dann an zusätzlichem Wissen...was ja gar nicht schlecht ist. Mir geht es darum, Onlinespiele zu begrenzen. Eine andere Möglichkeit hat das Kind (z. B. Bei Freunden) nicht. PS4 und Handy sind auch noch da, TV auch.

Ehrlich gesagt, bei zwei Kinder kein Problem, bei Kind 3 schwierig, bei Kind 4 sehr schwierig.

@Jörg

Das mit dem Sekundenkleber ist ne gute Idee...hab ich abgespeichert, falls ich doch mal aufrüsten muss...face-wink

Schade...stimmt zum Teil, teilweise aber einfach wirksam.

VG
Heiko
Herbrich19
Herbrich19 30.05.2017 um 22:40:00 Uhr
Goto Top
Ich könnte es über eine Diferenzial Analse an einen Test System aufdecekn. Erst sichere ich eine Normale Registry in eine REG Datei und dann wende ich die GPO,s an (Test PC in Domäne) und dann noch mal das gleiche.

Dann die reg files vergleichen und man sieht was man wo ändern muss. Dann würde ich ein Visual Basic tool schreiben mit den man das via Button Klick aushebeln .kann.

Gruß an die IT-Welt,
J Herbrich
117471
117471 31.05.2017 um 07:45:01 Uhr
Goto Top
Hallo,

Mir geht es darum, Onlinespiele zu begrenzen

Das läuft bei uns ganz einfach:
  • Der PC ist ein Büro-PC, der unter Linux läuft
  • Spielen nur über X-Box, da habe ich das über sein Microsoft-Konto geregelt

Handy wird sofort weggelegt, wenn ich es sage - ansonsten ist es eine Woche lang weg.

Gruß,
Jörg
holli.zimmi
holli.zimmi 31.05.2017 um 10:54:48 Uhr
Goto Top
Hi,

lade Dir eine private Firewall runter - geht als Beispiel von Sophos (kostenlos für PrivatAnwender)!
Siehe URL:
https://secure2.sophos.com/de-de/products/free-tools/sophos-utm-home-edi ...
(Dies läuft auch unter vmware -habe ich auf der CEBIT gesehen!)

Dies installierst Du auf einen PC mit 2 NW-karten ( Intern und Extern)!

Dann kannst Du das dementsprechend einrichten!

Gruß

Holli
Larmina
Larmina 31.05.2017 um 15:01:16 Uhr
Goto Top
Hallo Heiko,
bezüglich technischer Lösung von menschlichen Problemen möchte ich mich meinen Vorrednern anschließen.
Aber weil ich das drüber Nachdenken ganz ulkig finde:

Eine Möglichkeit wäre, je nachdem was für einen Router du hast über die Routerfirewall allen Traffic nach außen zu blocken, bis auf je nach Client-IP-Adresse festgelegte Whitelists.
Dann schaltest du den DHCP ab und setzt im internen Netz auf feste IP-Adressen.
Anschließend kann Kind mit der IP rumspielen wie es will, es wird meistens keine Verbindung haben.

Und entweder es probiert lange genug rum um die IP-Adresse von deinem Handy (deinem Rechner, deinem xyz) rauszufinden und dann zu nutzen oder es lässt schön brav die Finger von der Netzwerkkonfiguration.

Das musst du dir halt überlegen welcher Fall eher auf dein Kind zutrifft.

LG Larmina
SeaStorm
SeaStorm 31.05.2017 um 16:00:22 Uhr
Goto Top
Oder man kauft sich einen ordentlichen Router der 802.1X kann. Zertifikate auf den Clients verteilen und damit das Bosslevel ausrufen ;)
umount
umount 31.05.2017 um 18:26:55 Uhr
Goto Top
Hallo,

wie sieht es mit einem transparenten Squid Proxy aus nach der Uhrzeit wird die Leitung Geblogt. Lässt sich gut mit IPFire umsetzen.
knowon
knowon 01.06.2017 um 09:00:00 Uhr
Goto Top
Sicher, die Kommunikation face to face sollte die erste und wenn möglich auch zielführende sein! face-smile
Aber ich bin ab und zu nur die "Exekutive"...face-wink
Lieben Dank für eure Antworten. Werde noch mit den Einstellungen der FB testen. Bin aber erst ein paar Tage off...
hajowe
hajowe 15.08.2017 um 15:24:39 Uhr
Goto Top
Hallo Knowo

Ich habe nicht gelesen welche Fritte du hast.
Aber schaue die doch mal die Profilvergabe der Fritte an
zum Beispiel hier
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...