[XP/ 2K] Dichttimmeren voor n00b huisgenoten - Privacy en beveiliging

vrijdag 20 januari 2006 14:37

Acties:

Topicstarter

In de loop der jaren is onze pc zonder internet verbinding uitgebreid tot 4 pc's aan een LAN met 6Mbit ADSL. 2 van die pc's zijn van mij, maar die andere 2 worden door mijn hele gezin (pa, ma, 2 zusjes) gebruikt. Aangezien ik de pc guru van de familie ben(dat zegt niks over mij, maar over de familie

), rust het onderhouden van de pc's thuis dus ook op mijn schouders.

De 2 pcs:

PC1: Huis pc met Win XP Pro, een paar Windows gebruikers met passwords.
PC2: De oude huis pc, Win 2K, doorgeschoven als printserver en internet bak.
Deze meldt door een tweak in het register zichzelf aan met een naam en code.

Op het moment heb ik op PC1 voor de rest geen beveiliging zitten naast een virusscanner.
Mensen staan als limited user ingesteld met de nadelen van dien.
Van PC2 heb ik een image gemaakt, die op mijn eigen pc staat dus als daar wat mee is kan ik die imagen. Hier draait ook een viruscanner op.

Wat ik nu precies wil: Dingen zoals het leeghalen van een digitale camera gewoon toe kunnen staan aan mijn zusje (was toevallig van de week aan de orde) zonder dat ze gelijk alles kan op die pc, dus het liefst haar en ook de rest van het gezin een dichtgespijkerd admin account geven. Zo'n account stel ik dan ook in op PC2, zodat die ook fatsoenlijk gebruikt kan worden zonder dat ik dat ding elke maand moet imagen.

Hoe kan ik dit het beste aanpakken, zijn hier programma's voor ofzo, want ik kan niet zo bar veel vinden op Google...

[ Voor 4% gewijzigd door _eXistenZ_ op 20-01-2006 14:38 ]

There is no replacement for displacement!

vrijdag 20 januari 2006 15:00

Acties:

Verwijderd

Je kunt lokaal policies instellen op elke pc, maar ik neem aan dat er snellere manieren zijn

vrijdag 20 januari 2006 16:19

Acties:

_eXistenZ_

Topicstarter

Tja, policies, ik kom nooit verder dan wanneer ze hun code moeten veranderen... Policies zijn een van de weinige ding waar ik niet zo mee thuis ben in Windows...

There is no replacement for displacement!

vrijdag 20 januari 2006 18:10

Acties:

Gerco

Professional Newbie

Over die digitale camera... als je 1x inlogt als administrator en dan die camera (of usb stick) aansluit. Werkt het voortaan voor de limited users ook, Windows wil de eerste keer een driver installeren en dat mag natuurlijk niet.

Voor veel andere programmas is het voldoende om de rechten op de registry keys of directories van dat programma wat soepeler in te stellen, zodat limited users daar schrijfrechten hebben. Op deze manier hoef je geen admin accounts uit te delen en kun je veel software toch gewoon gebruiken als limited user.

Tools als filemon en regmon van sysinternals zijn onmisbaar bij dit soort dingen.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

vrijdag 20 januari 2006 18:13

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Power User account

Nothing is a problem once you've debugged the code

vrijdag 20 januari 2006 18:18

Acties:

Gerco

Professional Newbie

quote: http://www.kellys-korner-xp.com/xp_groups.htm
The Power Users group primarily provides backward compatibility for running non-certified applications. The default permissions that are allotted to this group allow this group's members to modify computer wide settings. If non-certified applications must be supported, then end users will need to be part of the Power Users group.

Power Users hebben nog veel te veel rechten, spyware en andere troep kan zich dan net zo makkelijk installeren als onder een Admin account. Met de conclusie in deze quote ben ik het dan ook absoluut niet eens.

Met wat pielen met rechten op directories en de registry is het prima mogelijk om bijna alle software aan de praat te krijgen als gewone user (er zijn natuurlijk uitzonderingen) en dat raad ik dan ook met klem aan. Het is wat meer werk, maar ordes van grootte veiliger dan een Power User.

* Run legacy applications, in addition to Windows XP Professional certified applications.
* Install programs that do not modify operating system files or install system services.
* Customize system wide resources including printers, date, time, power options, and other Control Panel resources.
* Create and manage local user accounts and groups.
* Stop and start system services which are not started by default.

Het vetgedrukte stuk houd in dat Power Users overal op de C:\ schijf schrijfrechten hebben, behalve in C:\Windows en in home directories van andere users. Heel C:\Program Files ligt dus volledig open en dat is, mijns inziens, veel te veel rechten voor een user.

Nog even tot slot:

Running legacy programs on Windows XP Professional often requires you to modify access to certain system settings. The same default permissions that allow Power Users to run legacy programs also make it possible for a Power User to gain additional privileges on the system, even complete administrative control.

Since Power Users can install or modify programs, running as a Power User when connected to the Internet could make the system vulnerable to Trojan horse programs and other security risks.

[ Voor 47% gewijzigd door Gerco op 20-01-2006 18:24 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

zaterdag 21 januari 2006 13:25

Acties:

_eXistenZ_

Topicstarter

Die digicam wil evengoed niet, maar ik zal es kijken wat er gebeurd als ik de software die er bij zit installeer. Dan maar niet via de windows ingebakken manier.

There is no replacement for displacement!

dinsdag 24 januari 2006 08:23

Acties:

Verwijderd

Als je het een beetje uitzoekt, dan werken policies prima, je kutn bijvoorbeeld je systeem zo dicht timmeren, dat ze niet eens in configuratiescherm kunnen, alleen een kwestie van uitzoeken.
Tip: configuratiescherm-->systeembeheer