Rein theoretisch ja, aber praktisch und wirklich sicher gibt es meiner Ansicht nach keine Lösung mit XP.


Aber wie gesagt, gewusst wie, und DHCP oder eigene IP-Konfiguration ist kein Problem
(Der Admin unter WinXP ist nur ein guter Scherz...).

Hast du aber mal bedacht, dass Daten auch anderweitig transferiert werden können? USB? Festplattentausch?
Das sollte gründlichst durchdacht sein.
Sicher ist das keinesfalls, jeder, der ein wenig Ahnung hat, kann auf das Teil zugreifen, egal, welche IP eingestellt ist.
Dann die IP ausspähen und das Zielnetz so ändern, dass es dem in der Firma entspricht.
Gibt noch mehr Möglichkeiten...

Offtopic :

Mit Linux täte mir ja einiges einfallen.

Edit:

Zitat :

Da damit eigentlich keine Einrichtung anderer Verbindungen möglich ist.

Und wenn das neue Netz zufällig im selben Bereich liegt? Schon kann man diesen Rechner wieder mit seiner IP ansprechen.
Und wenn sie statisch ist, dann hat man sie innerhalb von drei Sekunden rausgefunden... Dann noch das Netz simulieren (Linuxrechner und gekreuztes Kabel) und der Zauber ist vorbei...


_________________


[ Diese Nachricht wurde geändert von: DonComi am 13 Okt 2009 23:14 ]

[ Diese Nachricht wurde geändert von: DonComi am 13 Okt 2009 23:16 ]

Was willst du damit erreichen?
Mit einer stink normalen Knoppix CD kann der Rechner auch von CDrom gestartet werden mit vollem Zugriff auf die Hdd und Netzwerk.
Einziger und sinnvoller Weg Daten und Hdd Verschlüsseln, Benutzer haben nur eingeschränkte Rechte.
Gruß Bernd

Hm eigentlich habt ihr Recht...
Auf dem Rechner befinden sich keine kritisches Daten. Daher ist diese Seite unkritisch.
Mir ging es eher darum z.B. "privates Surfen" zu verhindern. Dazu wäre es mir eben am sympatischsten, wenn in "fremden Netzen" gar keine Verbindung möglich ist.

Ist vielleicht etwas overkill...

Gruß Konrad

Edit sagt 1 Rechtschreibfehler korrigiert

[ Diese Nachricht wurde geändert von: Koni001 am 13 Okt 2009 23:42 ]

Zitat : Koni001 hat am 13 Okt 2009 23:39 geschrieben :

Mir ging es eher darum z.B. "privates Surfen" zu verhindern.

Dachte ich mir.
Aber was wäre daran so schlimm?
Das surfen zu HAuse geht ja nicht auf Firmenkosten,und wenn keine kritischen Daten zum ausspionieren da sind...
Das einzige was man beachten müßte wäre,das sich der "User" mal ein "Schadprogramm" einhandeln könnte,was dann im Firmennnetz seltsame Dinge anstellt.Oder irgendwelche Programme installiert.
Aber normalerweise dürfte das auf eingeschränkten Konten für den "Standartuser" nicht so ganz ohne weiteres möglich sein.Mit etwas bösem Willen geht natürlich alles...

_________________
Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.
(Albert Einstein)

Zitat :

Mir ging es eher darum z.B. "privates Surfen" zu verhindern.

Dann richte es statisch ein und hoffe, dass der User so denkt, wie viele andere Ottonormal-User auch.

_________________

Zitat : Koni001 hat am 13 Okt 2009 23:39 geschrieben :

Mir ging es eher darum z.B. "privates Surfen" zu verhindern.

Warum gibst du dann den Mitarbeitern überhaupt Notebooks?

Ich denke mal wegen Programm- und Lizenznutzung ?!

_________________
Früh aufstehen ist der erste Schritt in die falsche Richtung !

Alle Tips ohne Gewähr und auf eigene Gefahr !!!
Vorschriften sind zu beachten !!!

Wenn im Betrieb der Internetzugang nur durch einen einfachen Router geregelt ist, ist eine Abschottung bei den Mitarbeitern zuhause nicht sonderlich sinnvoll bzw. hilfreich. Dass die Geräte dadurch möglicherweise länger laufen stört eigentlich wenig.
Die Installation von Programmen kann man durch die Berechtigung als "Benutzer" einschränken, aber damit ist auch, je nach benötigten Anwendungen, kein gescheites Arbeiten mehr möglich.
Es gäbe dann auch nur die Möglichkeit der festen IP-Vergabe auf den PCs in einem ungewöhnlichen Subnetz (192.168.x.0/24, wobei x zwischen 3 und 177; oder aber den privaten Netzbereichen aus Class A oder Class B, siehe Wiki-Artikel).
Sinnvoll ist ein Verbot des Surfen am privaten Internetanschluss erst, wenn in der Firma ein Proxy-Server vorgeschaltet ist, der den Zugriff beschränkt, z.B. per Blacklist/Whitelist keine Viren-URLs zulässt, selbiges per Virenscanner macht oder besser beides. Dann kann man den Zugriff leicht über eine handelsübliche Firewall (nicht die XP-integrierte) den Zugriff sperren.

Ohne einen sperrenden Proxy würde privates Surfen in der Firma aber auch nicht auffallen, zumindest nicht belegbar.

_________________
Reboot oder be root, das ist hier die Frage.

Das Beschneiden von Rechten ist bei Win XP nicht sinnvoll.
Mit ein bisschen suchen finden sich Möglichkeiten, nach denen man vollen
Systemzugriff erlangen kann. Nur kommt der Admin dann nicht mehr in das System.

Um so größer die Einschränkungen sind, desto größer ist auch der Anreiz nach
Abhilfe zu suchen.

Holger

_________________
George Orwell 1984 ist nichts gegen heute.
Der Überwachungsstaat ist schon da!

Leider lernen die Menschen nicht aus der Geschichte,
ansonsten würde sie sich nicht andauernd wiederholen.

Kann man eigentlich in XP auch MAC-Adressen eingeben?

Ansonsten müßte man auch LW wie CD-ROM/DVD und USB abschalten

Naja, hier sollte man drei Fälle unterscheiden:
1) XP Home, da geht rechtemäßig gar nichts gescheites
2) XP Pro Standalone bzw. "Arbeitsgruppe", da geht schon recht viel, macht aber keinen Spaß
3) XP Pro in Domäne (MS ADS): Ordentlich managebar und man kann sinnvoll Berechtigungen erteilen.

Grundsätzlich gilt: Wenn der Admin das System nicht voll kennt braucht dieser auch keine Berechtigungen != Vollberechtigung vergeben, da bestimmt eine Lücke übersehen wird.

Beim aktuellen Fall würde ich Punkt 3 einfach mal ausschließen. Eine Beschränkung des Internetzuganges an privaten Anschlüssen ist hier nicht sinnvoll, da diese auch keinen technischen Unterschied zwischen den privaten Zugängen und dem Zugang in der Firma gibt.
Sinnvoll ist dann aber auf jeden Fall der Einsatz einer zusätzlichen Firewall mit extra Passwort (das der jeweilige Nutzer nicht kennt), welche alle eingehenden Anfragen auf Ports TCP/135, TCP/139, TCP/445, UDP/137 und UDP/138 blockiert, um mal die wichtigsten zu nennen. Am Besten auch ausgehend, Ausnahme ist TCP/139 zur IP des NAS, wenn SSO eingesetzt wird evtl. auch TCP/445.

@Murray: MAC-Adresse eingeben? Wie meinen?

_________________
Reboot oder be root, das ist hier die Frage.

Na wie beim Router, das eine Netzwerkverbindung nur mit einer bestimmten Hardware möglich ist.

Achso, also wie ein MAC-Filter beim WLAN, nur anders herum. Ja, wenn man die Idee weiter denkt geht das auch, aber nur in Verbindung mit statischen IP-Adressen. Und zwar richtet man dann die IP des Gateways fest ein, wozu leider auch die eigene IP fest vergeben werden muss, und erstellt einen statischen ARP-Eintrag. Dieser übersetzt die IP-Adresse des Routers in dessen MAC-Adresse.
Diese Konstellation hätte allerdings auch einige Nachteile: Zum einen die normalen Nachteile der statischen IPs, was bei wenigen (je nach Arbeitsfreude des Admins max. 5 bis 10 Notebooks) noch vertretbar ist, zum Anderen müssen alle Notebooks bei einem Routertausch angefasst werden und der ARP-Eintrag umgebogen werden.

Die Sicherheit wäre schon ziemlich gut, da im jeweiligen Privathaushalt dann nicht nur das Gateway die gleiche IP haben muss, sondern auch die gleiche MAC-Adresse.

Je nach Branche würde meiner Meinung aber eine andere IP für das Gateway ausreichen. Also kein Standard-Subnetz und nicht die .1 für das Gateway verwenden, sicherheitshalber auch nicht die .254. Ich kenne da als Herstellerstandards: 192.168.0.1 (Netgear, D-Link), 192.168.1.1 (einige Netgear-Geräte, Linksys), 192.168.2.1 (T-Bla), 192.168.178.1 (AVMs Fritzchen), 192.168.254.1 (weiß nicht mehr)
Wie wäre es z.B. mit der privaten IP 172.17.2.172 (Subnetz 172.17.2.0/255.255.255.0) oder 10.10.10.10 (Subnetz egal)

_________________
Reboot oder be root, das ist hier die Frage.