seamon
Goto Top

Sicherheitseinstellungs-Chaos bei Multi-Boot (XP)

Hallo zusammen,

da hab ichs doch mal wieder geschafft, was so richtig in den Sand zu setzen (zumindest auf den ersten, zweiten, dritten... Blick).

Folgendes Problem:

Ich habe ein System aufgesetzt, auf dem viermal Windows XP in einem Multiboot-System läuft (über den Standard-XP-Bootloader, keinen Bootmanager). Nun wollte ich eigentlich die verschiedenen Partitionen der entsprechenden User gegeneinander abschotten über die Sicherheitseinstellungen.
Denkste.
Die Einstellungen haben sich auf alle Systeme ausgewirkt (anscheinend haben die alle die gleiche SID - obwohl das eigentlich keinen Sinn ergibt, oder?). Da wollte ich mit NewSID die SID eines Systems ändern und seither ist das Chaos perfekt.

Zwar kann ich von allen System auf alle Laufwerke zugreifen, aber noch längst nicht vollständig. Einige Ordner melden "Access denied" (und lassen sich auch nicht umstimmen), andere sind nur noch Read-Only. Sämtliche Zugriffsberechtigungen sind auf "Vollzugriff", was aber nichts genützt hat. Der Besitzer stimmt auch.

Hat irgendjemand eine Idee?

Danke und Gruss

Content-ID: 24400

Url: https://administrator.de/contentid/24400

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

ITfritze
ITfritze 24.01.2006 um 23:54:26 Uhr
Goto Top
Für was sollte ein Multiboot XP denn gut sein, währe es nicht besser mehre Accounts zu erstellen mit Passworten und vernünftigen Zugriffsrechten zu erstellen.

Man muss nur aufpassen das die Benutzer kein Leserecht auf für sie nicht bestimmte Daten bekommen

Zugriff: Systemlaufwerke haben einen Schutz das anderen Systemen den Zugriff auf die Systempatition verwährt oder nur Teilweise erlaubt

PS. erstmal wäre gut zu wissen wozu dieser PC mit 4 seperaten XP vers. überhaupt dient
gogoflash
gogoflash 24.01.2006 um 23:56:19 Uhr
Goto Top
Hi,

So Du möchtest, dass Benutzer von XP A sich nur unter XP A anmelden kann und dann nur noch auf die Daten von XP A zugreifen kann?
Jetzt hast Du natürlich mit einem neuen System (neue Sid) neue Verhältnisse geschaffen.
Die alten Rechte sind noch mit ihren alten SIDs vorhanden.Und verweigern Dir dann natürlich den Zugriff.(Als Admin kannst Du ja den Besitz übernehmen).

Erster Schritt meiner Meinung nach. (ist mit Arbeit verbunden)
Auf jeder Maschine (jedes System) als Admin anmelden.Und dann gehts los.
Hau alle Berechtigen raus. Fang lieber von vorne an. Also "default Einstellung" Everyone.
Falls Du nicht zugreifen kannst, übernimm den Besitz auf diesen Ordner und auch wenn er Dir erzählt der Admin hat da Rechte drauf.(Auch Unterordner einbeziehen!!!) (Ich hoffe das Hilft)

Jetzt sollte jeder Nutzer auf alle Dateien zugreifen können.
Jetzt kannst Du für jedes einzelne System die Rechte sauber setzen, so wie gewünscht.

Jedes rumfummelbn in dieser Situation hilft Dir nicht weiter. (Ich hätte damit meine Probleme.Deshalb ist es Meinermeinung besser alles von grundauf neuzumachen).

Ausserdem muß es den ein Mutiboot für 4 XPs sein? Machst Du Dir damit nicht mehr arbeit als nötig.


Gruß Miguel
14078
14078 25.01.2006 um 01:15:49 Uhr
Goto Top
hehehe 4 mal xp installiert......kostet das nicht auch 4mal ?....

warum legst du nicht einfach user an und vergibst rechte, wie das so ziemlich jeder machen wuerde ?!
dieses 4mal xp installieren macht doch GAR KEINEN sinn.
gogoflash
gogoflash 25.01.2006 um 01:20:49 Uhr
Goto Top
@Maurizio

Wenn Du keinen besseren Vorschlag hast, dann sollest Du einfach schweigen.
Du kannst deine Hinweise bezüglich der Lizenzbedingungen, vielleicht konstruktiver formulieren. Anstatt mit HAT ALLES KEINEN SINN drunterzusetzen.

Du machst keinen Sinn.

@seamon:
Maurizio hat ohne zu wollen, scheinbar doch auf etwas aufmerksam gemacht. Es ist so eine Grauzone, wieviele Installationen man auf einen Rechner haben darf.
Microsoft will von soetwas garnichts wissen, und sagt eine Installation wird von den Lizenzbedingungen als erlaubt erklärt. Da ich kein Jurist bin, kann ich nicht beurteilen, ob dieses wollen von MS auch durchsetzbar ist bzw legitim ist.

Falls MS recht hat, dann ist das was Du tuest .... Mehr muß ich nicht sagen.

Gruß Miguel
filippg
filippg 25.01.2006 um 01:37:35 Uhr
Goto Top
dieses 4mal xp installieren macht doch GAR
KEINEN sinn.

Ich wills mal so sagen: wenn man auf einer Maschine nur Notepad installiert, dann läuft man auch keine Gefahr sich etwas zu zerschiessen (Btw: kennt ihr eigentlich den lustigen Trick mit "Blödsinn"?). Aber wenn man verschiedene Software ausprobiert, dann ist man oft genug auch froh, dass das jetzt nicht das "alltags-System" war, das man gerade zerlegt hat.
Allerdings bevorzuge ich dann VirtualPC, da kann man die Systeme sogar gleichzeitig nutzen. Ist natürlich von den Lizenzen her nochmal eine Ecke teurer (aus man bekommt sie als Student geschenkt face-smile) ).

Filipp
14078
14078 25.01.2006 um 07:08:22 Uhr
Goto Top
Moin Miguel,

also den satz wegen der 4 versionen kam nicht von ungefähr. ich kann mir gut vorstellen das Microsoft da was gegen hat, andererseits kenne ich niemanden der ein multiuser system 4 mal installiert. quasi ein multi-os-multi-user-system.

er koennte z.b. pro partition einfach rechte vergeben, du must doch zgeben das ist bei 4 usern in ein paar minuten geregelt und steht in keinem verhaeltniss zum 4mal xp installieren.
14078
14078 25.01.2006 um 07:09:20 Uhr
Goto Top
(Btw: kennt ihr eigentlich den lustigen Trick mit "Blödsinn"?).

nope ? erzaeeeehhl face-smile
seamon
seamon 25.01.2006 um 08:30:41 Uhr
Goto Top
Hallo zusammen,

erstmal vielen Dank für die Antworten. Ich werd mich da nochmal dahinter machen und das Ganze hier beherzigen.

Was die Sinnfrage angeht... der Grundgedanke ist folgender:
Die Kinder dort surfen so ziemlich überall rum, wo es ihnen grad passt. Und ob ihr es glaub oder nicht, die haben schon manch ein Windows ins Nirvana geschickt (trotz Einstellungen, AVK, anderer Tools....). Wenn da nun ein Windows mit mehreren Nutzern existiert, ist das Risiko einfach höher, dass gar nichts mehr funktioniert. So hab ich eine gewisse Sicherheit, dass zumindest nicht gleich alles den Bach runter geht (wenn natürlich die Bootpartition nicht mehr lesbar ist, dann geht auch nichts mehr).

Zu den Lizenzbestimmungen: So viel ich weiss, wird das Thema von MS nicht wirklich behandelt. Allerdings muss ich mir logisch sagen, dass sie dagegen nicht viel machen können - ich habe EINEN PC und VIER Installation darauf - wie viele kann ich denn gleichzeitig benutzen?
14078
14078 25.01.2006 um 08:40:15 Uhr
Goto Top
Hallo zusammen,

erstmal vielen Dank für die Antworten.
Ich werd mich da nochmal dahinter machen und
das Ganze hier beherzigen.

Was die Sinnfrage angeht... der Grundgedanke
ist folgender:
Die Kinder dort surfen so ziemlich
überall rum, wo es ihnen grad passt.

dann wuerde ich da mal einschreiten und black/whitelisten nutzen.
admin rechte haben sie sowieso nicht, deshalb koennte da auch ein standart download pfad hilfreich sein.

ich wuerde soviel wie moeglich bzw. alles in die eigenen ordner verlegen, 1-2 ordner auf der hdd erstellen auf welche sie zugreifen koennen, evtl auch einen gemeinsamen ordner,
damit jemand daten austauschen kann. alle anderen ordner ausblenden.
keine install rechte etc sind selbstverstaendlich.


Und ob ihr es glaub oder nicht, die haben
schon manch ein Windows ins Nirvana
geschickt (trotz Einstellungen, AVK, anderer
Tools....). Wenn da nun ein Windows mit
mehreren Nutzern existiert, ist das Risiko
einfach höher, dass gar nichts mehr
funktioniert.

ja dafuer wuerde im grunde ja EINE backup winxp installation ausreichen, wenn man sie denn ueberhaupt benoetigt.


Zu den Lizenzbestimmungen: So viel ich
weiss, wird das Thema von MS nicht wirklich
behandelt.

och das wuerde ich so nicht sagen, MS regelt das glaube ich sehr streng. pro installation EINE serial. "installierst" du diese serial 4mal, sind 3 davon illegal.
was waere das schoen wenn man als company quasi microsoft dongle version einführt. ich kaufe 20 mal office 2003, weil wird ja meist eh nicht mehr paralell eingesetzt, nene da macht MS nicht mit.

MS ist sogar so krass, das du einmal die OFFICE lizenz kaufen must ( den client ) dann noch exchange 2003 ( den server ) UND dann noch zugrifflizenzen fuer die postfaecher.


Allerdings muss ich mir logisch
sagen, dass sie dagegen nicht viel machen
können - ich habe EINEN PC und VIER
Installation darauf - wie viele kann ich
denn gleichzeitig benutzen?

hehe Microsoft mit logik zu begegnen halte ich fuer SEHR gewagt face-wink
seamon
seamon 25.01.2006 um 08:46:59 Uhr
Goto Top
dann wuerde ich da mal einschreiten und
black/whitelisten nutzen.
admin rechte haben sie sowieso nicht,
deshalb koennte da auch ein standart
download pfad hilfreich sein.

ich wuerde soviel wie moeglich bzw. alles in
die eigenen ordner verlegen, 1-2 ordner auf
der hdd erstellen auf welche sie zugreifen
koennen, evtl auch einen gemeinsamen
ordner,
damit jemand daten austauschen kann. alle
anderen ordner ausblenden.
keine install rechte etc sind
selbstverstaendlich.


Ehm ja, sorry, hab mich nicht ganz korrekt ausgedrückt, die "Kinder" sind 16, 18 und 20. Und denen kann ich weiss Gott nicht verbieten, etwas auf dem PC zu installieren (und wenn es sicherheitstechnisch noch so sinnvoll ist).
Momentan besitzt jeder für die Daten eine eigene Partition, wo die Eigenen Dateien liegen (zusätzlich zur Systempartition).


hehe Microsoft mit logik zu begegnen halte
ich fuer SEHR gewagt face-wink

Entschuldige ;)
filippg
filippg 25.01.2006 um 11:41:42 Uhr
Goto Top
nope ? erzaeeeehhl face-smile

Erzeuge eine neue Textdatei, Name ist egal (Desktop -> rechte Maustaste -> neu -> Textdokument). Öffne diese und schreibe "Blödsinn" hinein (ohne Anführungszeichen). Schliesse die Datei und öffne sie wieder.
(Getestet oder WinXP Pro, funktioniert afaik aber auch mit anderen Versionen).

Filipp
ITfritze
ITfritze 25.01.2006, aktualisiert am 17.10.2012 um 16:24:08 Uhr
Goto Top
Um von den TXTs ma wierder auf Thema zurück zu kommen

Es gibt für solche fälle PC-Wächter, das ist eine Komponente die sobald der PC neu startet den Urzustand wiederherstellt.

Ein solchen PC Wächter gibt es von Dr Kaiser für ca. 65 ?
Als PCI-Karte oder als USB-Gerät glaube ich sogar

Sobald man Programme Installieren muss oder auf der geschützen Patition was Schreiben muss , kann man ihn deaktivieren.

Links:

Achtung DAU Arlarm - Win98 System

http://www.dr-kaiser2.de/dr-kaiser.0.html
seamon
seamon 25.01.2006 um 18:28:55 Uhr
Goto Top
OK das ist eine tolle Sache, aber bei mir nützt das nix, es sollen ja Arbeits- und Spielsysteme sein, kein Kiosksystem in einem Internetcafe oder einer Uni.

Danke aber für den Tipp, vielleicht kann ich das ja mal gebrauchen face-smile
ITfritze
ITfritze 25.01.2006 um 19:38:54 Uhr
Goto Top
Ist in dem Fall zwar auch wieder eine Frage des Geldes, aber währe es in dem Fall nicht besser einen weiteren Rechner für die Arbeit zu besorgen und den alten den Kindern zu überlassen


PS. Dann können sie damit wir bauen ein Atomkraftwerk spielen und es beinflusst deine Arbeit nicht :-P

Und was Kinder angeht immer auf Sicherheit achten dh. Virenscanner Firewall und eine Kindersicherung sind pflicht

Wie alt is die Chaostruppe eigendlich?
ITfritze
ITfritze 25.01.2006 um 19:47:58 Uhr
Goto Top
Eine Andere Möglichkeit ist 3 Patitionen

Eine für dein System und Daten
Und eine andere für deine Kinder

Das Heisst 2 Primärpatitionen und 1 erweiterte Patition

Wenn du es mit der Rechtevergabe dann so machst das nur die kinder auf ihren Bereich zugreifen können und du auf deinen dürfte alles klappen
seamon
seamon 25.01.2006 um 19:51:50 Uhr
Goto Top
Hab ich schon geschrieben. "Kinder" war nicht ein sehr toller Ausdruck, sie sind 16, 18 und 20. Meine Kinder sind es übrigens auch nicht ;)

Und "Chaostruppe" ist wohl etwas übertrieben, aber wie es halt so ist, sind alle aktiv im Netz unterwegs von IM über das "normale" (wobei ich mich manchmal frage, wo die wirklich überall unterwegs sind) Surfen bis zum Download von zum Teil sehr suspekten Spielen oder Programmen.

Man muss allerdings dazu auch sagen, dass es früher noch viel unglücklicher gelöst war (ein Wechselrahmen mit vier Festplatten, an sich eine gute Idee, wäre nicht der Rahmen zu billig und der Schlüsselschalter überbrückt worden, so waren Datencrashs vorprogrammiert). Allerdings bekam ich die Auflage, dass ein Multiuser-System nicht in Frage kommt (was ich auch verstehe).

Ich habe mir zeitweise damit beholfen, dass ich zumindest alle nicht benötigten Laufwerke im Arbeitsplatz ausgeblendet habe, aber eine wirklich tolle Lösung ist das nicht. Zwar ist das schon ein sehr effektiver Schutz, da sie nicht wirklich viel Ahnung haben, allerdings möchte ich das gerne effektiver absichern.

Partitionen sind grundsätzlich je zwei vorhanden, System und Daten halte ich immer getrennt (was sich schon sehr oft bewährt hat).
18697
18697 25.01.2006 um 19:56:21 Uhr
Goto Top
ITfritze
ITfritze 25.01.2006 um 20:30:04 Uhr
Goto Top
@18697

Administratorrechte

Und jetzt zum wichtigsten Punkt:

Vermeiden Sie das Anmelden als Administrator

Diesem Punkt habe ich nichts mehr hinzuzufügen

PS. Durch Admin Recht öffnet man Haus und Hof für Vieren Würmer oder andere @354 Tiere, deshalb sollte man sich überlegen ob Adminrechte wirklich Notwendig sind.

_______________________________________________

Auf dieses Thema bezogen, sollte man sich überlegen welche Rechte überhaupt notwenidig sind für die Spielchen der Kinder

Spezell bei Adminrechten gibt es das Problem das nich nur Vieren keine Grenzen haben sondern auch Programme

Wer LC5 kennt wird wissen was ich meine