dankon7goo
Goto Top

?Supergau? Mainboard Gigabyte GA-P35 DS3 lässt sich booten von DVD u. Sticks nicht verbieten!?

Hallo,

wir haben hier in der firma gerade etliche neue Desktop-PCs bekommen,
alle mit dem obengenannten Board.

Nun stelle ich zur größten Verwunderung fest, dass man dem Board (aktuellste Biosversion) nicht beibringen kann NICHT von optischen Laufwerken/ Sticks zu booten.
Man kann zwar im Bios Second und Third Boot Device Disablen, aber das wird alles von der *** - F12 Taste ("Boot Menu") untergraben...

... da ist dann eine volle Liste aus der man richtig schön alles anbooten kannface-sad

Mit besagter Taste ist in der Post-Phase ein Booten von den vorher im Bios unter advanced features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!

Ich habe Gigabyte schon geschrieben, leider keine Antwort bis jetzt.

Übelst. Oder?

Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

...Vielleicht hat hier ja schon jemand ERfahrungen diesbezüglich mit dem genannten Board.

Vielen Dank!

Content-ID: 82980

Url: https://administrator.de/forum/supergau-mainboard-gigabyte-ga-p35-ds3-laesst-sich-booten-von-dvd-u-sticks-nicht-verbieten-82980.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

gi-networx
gi-networx 12.03.2008 um 17:38:34 Uhr
Goto Top
Hi,

ich kenne jetzt zwar nicht speziell dieses Board, aber ich glaube mich zu erinnern das man bei FSC-Boards auch das Boot-Menü disablen kann.
Teilweise wird das Boot-Menü iirc auch disabled wenn man anstatt der POST-Messages das Logo des Board-Herstellers beim booten anzeigen lässt.


features deaktivierten komponenten (USB/DVD/USB-HDD/USB-CDROM/LAN) möglich.!!!
Hat jemand eine Ahnung hier welcher Weg beschritten werden müsste um solche eine für >jedermann bootbare Kiste halbwegs sicher zu machen in einer Domain?

Wenn euch derart an Sicherheit liegt, warum baut ihr dann nicht einfach alle enstprechenden Laufwerke aus? Ich hab gehört bei Mercedes werden bei neuen Rechnern sogar die USB-Ports "physikalisch deaktiviert".
dankon7goo
dankon7goo 12.03.2008 um 17:57:52 Uhr
Goto Top
Ja das war einen Versuch wert: Aber das Logo des Herstellers enthält auch einen Hinweis auf die F12-Taste. Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält´face-sad

Ja das ist per se ja keine schlechte Idee, aber unsere Nutzer brauchen schon ihre Sticks.
Ich kann leider gar nicht abschätzen was das für unsere Domain mittelfristig bedeutet,
von wegen Sicherheit...

Danke jedenfalls!

Und Ihr die Anderen: was meint ihr? Erfahrungen oder Anregungen!
gi-networx
gi-networx 12.03.2008 um 19:45:08 Uhr
Goto Top
Der letzte Ansatz wäre es ein eigenes Logo anzulegen, das den Hinweis nicht mehr enthält

Das wäre dann aber Security through Obscurity was ja bekanntlich keine echte Security ist.
In diesem Fall denke ich das diese Maßnahme besondern nutzlos wäre, weil jemand der das System aus fraglichen Gründen fremdbooten will auch anderswo rausbekommt welche Taste er dazu drücken muss - falls er es nicht eh schon weiß da F12 für das Bootemneü anscheinend jetzt überall so gemacht wird.

Aber eigentlich verstehe ich Deine Angst gar nicht so zu 100%. Ich persönlich sehe jetzt nicht unbedingt ein riesen Sicherheitsrisiko darin, das jemand eure Desktop-Rechner fremdbooten könnte.
Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Falls jemand fremdbootet und z.B. vorsätzlich ein anderes OS installiert oder Dateien von der Festplatte löscht ist das zwar ärgerlich, aber in so einem Fall denke ich mir persönlich: Wenn jemand die kriminelle Energie besitzt Geschäftsdesktops derart zu manipulieren dann baut so jemand auch einfach die HDD aus wenn er nciht booten kann...

Wiegesagt, Ärger durch mehr Arbeitsaufwand ist möglich, aber sicherheitstechnisch sehe ich hier kein Problem. An Deiner Selle würde ich mir mehr Gedanken machen was die Leute z.B. auf USB-Sticks so einschleppen wenn Windows bereits läuft und sie am Netz angmeldet sind. DAS, finde ich, ist das große Risiko bei Wechseldatenträgern.

Viele Grüße, Michl
DerSchorsch
DerSchorsch 12.03.2008 um 22:10:15 Uhr
Goto Top
Hallo

Was könnte denn realistisch gesehen schon passieren? Das schlimmste was mir jetzt sicherheitsteschnisch einfällt ist das jemand mit Knoppix o.Ä. bootet und das Passwort im lokalen Admin-Account überschreibt. Das wäre zwar ärgerlich, aber ich finde nicht dass das so ein riesiges Sicherheitsrisiko ist weil Geschäftskritische Daten ja normalerweise eh immer auf Netzresourcen gespeichert sein sollten wo jemand ohne Domain-Account eh nicht drankommt.

Ein Industriespion könnte dies ausnutzen um z.B. einen Keylogger oder Trojaner lokal auf einem Client zu installieren, der dann darauf wartet, dass sich jemand mit entsprechenden Rechten im Netz anmeldet.
Dazu muss man eigentlich nur kurz lokal an den Rechner kommen. Dass kann auch eine bestechliche Putzfrau sein, die bei Putzen der Büros der Geschäftsleitung/Buchhaltung/Konstruktionsabteilung einen präparierten USB-Stick einsteckt, den Rechner einschaltet, F12 drückt und vom Stick bootet. Den Rest erledigt ein Script...

Bei Business-PCs darf sowas einfach nicht vorkommen. Wenn das BIOS beim Aufruf des Bootmenüs nach dem BIOS-Passwort fragt, ok, aber die eingestellten BIOS-Werte (und dazu gehören die Bootmedien und -sequenz) einfach zu umgehen ist nicht akzeptabel.

Gruß,
Schorsch
gi-networx
gi-networx 13.03.2008 um 06:24:25 Uhr
Goto Top
Hi

Ein Industriespion könnte dies
ausnutzen um z.B. einen Keylogger oder
Trojaner lokal auf einem Client zu
installieren, der dann darauf wartet, dass
sich jemand mit entsprechenden Rechten im
Netz anmeldet.

Und wenn er das nicht kann steckt er eben einen Hardware-Keylogger zwischen Tastatur und USB-Port face-smile
Das ein fremdbooten nicht wünschenswert ist, ist mir sicherlich auch klar, aber ich betrachte das jetzt nicht als Supergau face-smile

Viele Grüße
Michl
dankon7goo
dankon7goo 13.03.2008 um 07:33:35 Uhr
Goto Top
Also wir haben hier eine Art besseres Internetcafe.

50 Clients in einem Poolraum mit über 1000 wechselnden Usern - deshalb lege ich so einen Wert auf die Unterbindung des Bootens über optische Laufwerke;
in der Verbindung mit mandatory Profiles und der Mitgliedschaft aller in "Benutzer" anstatt Hauptbenutzer. Das war neben Diskimaging auf den Clients und natürlich installiertem Virenscanner und Patche unsere bescheidene Sicherheit.

Aber nun kann dank freiem Bootens:

jeder lokale SAM Konten hacken ( kann man das mit einer restrikitiven Gruppenrichtlinie verhindern, dass eine lokale Anmeldung überhaupt möglich ist mit einem so fingierten lokalen Adminaccount)

Jeder Idiot alles löschen / Keylogger installieren, etc.

Nicht das wir hier zum Zombie/Bot-Netz mutieren.


Je mehr ich darüber nachdenke desto mehr habe ich den Eindruck wir müssen die noch verpackten Rechner zurückgeben - und ein neues Board erhalten. War schließlich ein Systemhaus oder so!

Scheinbar bewerte ich den Sachverhalt ja doch nicht über!!

Grüße und Dank!
DerSchorsch
DerSchorsch 13.03.2008 um 12:54:31 Uhr
Goto Top
Die Montage eines Hardware-Keyloggers kann man mit entsprechenden Möbeln drumherum schon erschweren. Ich habe das schon Halterungen unter Schreibtischen gesehen, die hatten eine Art Käfig aus Metallgitter, in dem der Rechner eingebaut war. Das ganze abschliessbar. Da kommt man gar nicht so leicht an den Tastaturanschluß ran.
Und sah nicht so hässlich aus, wie es sich anhört face-smile

Nun hat dankon7goo ja das Szenario genauer beschrieben und da tauchen auch andere Probleme auf:
jede Menge wechselnder Benutzer, die vermutlich schon gerne mal mehr mit den Rechnern anstellen wollen, als es die Richtlinien erlauben. Mal ein Spielchen spielen oder einfach mal Just for Fun probieren, was man so alles anstellen kann. Sind ja keine Privatrechner, Geld verdienen muss man damit auch nicht und das Ganze in einer gewissen Anonymität...
Da kann man schon auf dumme Gedanken kommen.

Also toll ist das ganze nicht. Vor allem sollte Gigabyte Stellung beziehen. Vielleicht gibt es ja eine BIOS-Version, in der das Verhalten anderst ist.

Gruß,
Schorsch