B.O.F.H.
Theorie
Jeder der ein kleinen Bruder hat kennt das Problem: Der kleine Bruder geht an den Rechner, surft auf ein paar Seiten herum und danach geht nichts mehr. Warum? Weil der kleine Bruder vielleicht auf genau den falschen Seite herum gesurft hat wie z.B.: toXlster.de und fröhlich ein Spyware Spiel nach dem anderen Installiert. Wie kann man sich davor schützen? Klar, Blacklists im Browser, aber was nutzt es mir wenn der kleine Bruder einfach das Profil abändern kann bzw. die Einstellungen? Hier setzt CCK Wizard[1] an und geht sogar noch einen Schritt weiter.
Mittels CCK Wizard kann man die Einstellungen des Profiles bearbeiten, und einschränken. about:config z.B.: ist ein idealer Anlaufpunkt um einfach ein paar Einstellungen abzuändern, das findet der kleine Bruder in jedem Forum. CCK unterbindet den Zugriff darauf, das erhöht erfolgreich den Schutz seiner Maschine und der kleine Bruder kann sich schwarzärgern.
Eltern, die Ihre Kinder schützen wollen, richten oft Accounts bei Firmen wie Safer Surf und Co. ein. Das sind nichts anderes als Proxys mit einem Filter. Die Kidds wissen aber sowieso durch Google das man den Proxy einfach abschalten kann oder umgehen mit einem eigenen. Setze ich die Einstellungen mittels CCK, dürfte das kein Problem mehr sein, den sie dürfen bei richtig Konfigurierten CCK nicht einmal mehr die Einstellungen ändern.
Praxis
Da Sandboxie ja immer eine Kann-Lösung ist und keine Muss, muss man eben auch noch für den Fall der Fälle etwas parat haben. In diesem Fall, ein regressiver Proxy (ob jetzt daheim ein Proxy oder im Netz, ist egal) und ein Profil für den Bruder damit er kein Schaden anrichten kann. Ein neues Profil[2] legt mal relativ leicht an, einfach Firefox mit der Option -P (großes p!!!) starten, danach kann man ein neues Profil hinzufügen. Leider kann man kein Passwort vergeben, da suche ich noch ein Plugin. Sobald man das Profil hat, kann man jetzt wieder in das andere Profil wechseln und CCK Konfigurieren. Am Schluss exportiert man eigentlich nur ein XPI Paket, also das Format wie die Plugins sind. Dieses kann man nach dem Konfigurieren des Profils einfach öffnen über "Datei -> Datei öffnen", danach öffnet sich der Plugin Manager und man kann das Plugin installieren. Je nachdem wie stark man es einstellt sieht man das Plugin nicht einmal mehr im Manager, man kann keine about:config mehr öffnen etc.
Um jetzt das Profil starten zu können, muss man die Verknüpfung des Firefox ändern und an hinter "firefox.exe" einfach -P "Profilname" setzen, damit startet dann das Programm immer mit diesem Profil. Möchte man jetzt z.B.: wieder ins anderen Profil, einfach via Start -> Ausführen -> firefox.exe -P "altes_Profil" eingeben und Ihr könnt wieder normal surfen. Löscht aber über (ok, etwas lang
) Start -> Einstellungen -> Taskleiste -> Startmenu -> Anpassen -> Löschen die History, also euren Arbeitsverlauf, dann weiß der kleine Bruder nicht wie man den Trick mit dem Profilwechsel macht, und die wenigsten werden es je Wissen
Das ganze eignet sich eben sehr gut um den Browser noch ein bisschen sicherer zu machen und man muss sich eben auch oft selbst einschränken. Wer kein offenes Profil haben möchte auf der Maschine, dem legen ich Portable Firefox ans Herz das man auf einem USB-Stick herumtragen kann und auf verschiedenen Rechnern einfach mit ein und dem selben Profil und Bookmarks surfen kann (das ist auch was für Perry in der Arbeit ) .
Eines ist aber noch: Sollte der kleine Bruder raus finden das man nur ein neues Profil anlegen muss um alle Restriktionen zu umgehen, wird es wieder blöd. Man könnte jetzt einfach hergehen, ein neuen Windows Nutzer anlegen fürs Surfen und diesen extrem stark einschränken, sprich Sandboxie und alle Sicherheitssachen dort installieren, Konfigurieren und ein Mandatory Profile[3] aus dem Windows Profil machen. Dazu geht man als Admin in seinen Profilordner (z.B.: c:\dokumente und einstellunge\mein user\) und lässt sich die versteckten Dateien anzeigen. Dort befindet sich eine NTUSER.DAT, diese benennt man einfach um in NTUSER.MAN und schränkt die Berechtigungen ein sodass nur noch lesen mit dieser Datei möglich ist. Wenn sich etwas am Profil ändert, reicht ein Ausloggen und alle Änderungen sind weg. Aufpassen: Bei Mailprogrammen sollte man seinen Mailordner vor dem ändern in ein Mandatory Profile woanders hinlegen, sonst verliert man alle Mails die reinkommen!!!!
Kurz zu dem Mandatory Profil (damit Ihr nicht dumm sterbt *G*)
Eines Tages dachten sich die NT Entwickler das Firmen es nicht begrüßen wenn Ihre Mitarbeiter Sachen in den Eigenen Dateien Speichern können bzw. Ihre Einheitlichen Einstellungen ändern. Dann hat irgendein Depp gesagt: Machen wir doch schreibgeschützte Profile. Raus kam eben dieser Trick mit dem Mandatory Profil, was mehr ärger verursachte als es nutzte. Nutzer beschwerten sich das Sachen die auf dem Desktop lagen zur Zwischenspeicherung weg waren weil der Rechner abstürtzte, Admins beklagten sich nicht nur über die Anrufe der Nutzer, sondern auch darüber das diese jetzt temporäre Daten übers Netzwerk sichern und damit oft extremen Traffic verursachen (Schonmal eine 500 MB Excel Datei über ein vollbelastetes 100mbit Netz geschoben?). Schlimmer noch: Das ganze wurde von den NT Entwicklern so extrem schlecht umgesetzt (oder war es ein Feature?) das es einfach suxxte: Sobald ein Profil ein Mandatory Profil war, konnte man es nicht wieder ändern! Wenn ich also ein Nutzer wieder seine Rechte geben wollte, musste ich ein neues Profil anlegen und die Daten händisch rüberschieben.
Nicht genug, es ging weiter. Ich kann ja Gruppen und Userrichtlinien ändern. Sobald ein Mandatory Profil einmal geändert wurde vom Admin bzw. seine Gruppenrichtlinie, konnte man das Profil nicht mehr aufmachen. Das war nicht nur nervig, man musste Hacker spielen und den User kurzzeitig in eine Temporäre Gruppe schieben und wieder in die Usergruppe zurück um nicht das Profil neu anlegen zu müssen.
Heute Dient es eigentlich nur um ein extrem eingeschränktes Profil zu haben das nie wieder geöffnet werden sollte. Im Unternehmenseinsatz geht man allerdings wieder zurück zu den Terminalservern (Citrix, LTSP und Co.), die Clientstations interessieren nicht mehr so. Ein Terminalprofil kann ich Serverseitig besser Verwalten als einen Client, den das Lokale Profil wurde ja nie überschrieben, sondern die Profildaten auf einem Windows Domänen Server der das Profil eigentlich Hosten sollte. Wer also ein Profil einschränkt, der tut das für immer. Aber der Lohn dafür ist, kein Virus der den Nutzer angreift, kann ins Profil oder ins System schreiben. Und DAS ist schonmal viel Wert, oder nicht?
Links
[1] https://addons.mozilla.org/firefox/2553/
[2] http://www.firefox-browser.de/wiki/Profil
[3] http://support.microsoft.com/KB/307800
Happy hacking
Lord
Jeder der ein kleinen Bruder hat kennt das Problem: Der kleine Bruder geht an den Rechner, surft auf ein paar Seiten herum und danach geht nichts mehr. Warum? Weil der kleine Bruder vielleicht auf genau den falschen Seite herum gesurft hat wie z.B.: toXlster.de und fröhlich ein Spyware Spiel nach dem anderen Installiert. Wie kann man sich davor schützen? Klar, Blacklists im Browser, aber was nutzt es mir wenn der kleine Bruder einfach das Profil abändern kann bzw. die Einstellungen? Hier setzt CCK Wizard[1] an und geht sogar noch einen Schritt weiter.
Mittels CCK Wizard kann man die Einstellungen des Profiles bearbeiten, und einschränken. about:config z.B.: ist ein idealer Anlaufpunkt um einfach ein paar Einstellungen abzuändern, das findet der kleine Bruder in jedem Forum. CCK unterbindet den Zugriff darauf, das erhöht erfolgreich den Schutz seiner Maschine und der kleine Bruder kann sich schwarzärgern.
Eltern, die Ihre Kinder schützen wollen, richten oft Accounts bei Firmen wie Safer Surf und Co. ein. Das sind nichts anderes als Proxys mit einem Filter. Die Kidds wissen aber sowieso durch Google das man den Proxy einfach abschalten kann oder umgehen mit einem eigenen. Setze ich die Einstellungen mittels CCK, dürfte das kein Problem mehr sein, den sie dürfen bei richtig Konfigurierten CCK nicht einmal mehr die Einstellungen ändern.
Praxis
Da Sandboxie ja immer eine Kann-Lösung ist und keine Muss, muss man eben auch noch für den Fall der Fälle etwas parat haben. In diesem Fall, ein regressiver Proxy (ob jetzt daheim ein Proxy oder im Netz, ist egal) und ein Profil für den Bruder damit er kein Schaden anrichten kann. Ein neues Profil[2] legt mal relativ leicht an, einfach Firefox mit der Option -P (großes p!!!) starten, danach kann man ein neues Profil hinzufügen. Leider kann man kein Passwort vergeben, da suche ich noch ein Plugin. Sobald man das Profil hat, kann man jetzt wieder in das andere Profil wechseln und CCK Konfigurieren. Am Schluss exportiert man eigentlich nur ein XPI Paket, also das Format wie die Plugins sind. Dieses kann man nach dem Konfigurieren des Profils einfach öffnen über "Datei -> Datei öffnen", danach öffnet sich der Plugin Manager und man kann das Plugin installieren. Je nachdem wie stark man es einstellt sieht man das Plugin nicht einmal mehr im Manager, man kann keine about:config mehr öffnen etc.
Um jetzt das Profil starten zu können, muss man die Verknüpfung des Firefox ändern und an hinter "firefox.exe" einfach -P "Profilname" setzen, damit startet dann das Programm immer mit diesem Profil. Möchte man jetzt z.B.: wieder ins anderen Profil, einfach via Start -> Ausführen -> firefox.exe -P "altes_Profil" eingeben und Ihr könnt wieder normal surfen. Löscht aber über (ok, etwas lang
) Start -> Einstellungen -> Taskleiste -> Startmenu -> Anpassen -> Löschen die History, also euren Arbeitsverlauf, dann weiß der kleine Bruder nicht wie man den Trick mit dem Profilwechsel macht, und die wenigsten werden es je Wissen Das ganze eignet sich eben sehr gut um den Browser noch ein bisschen sicherer zu machen und man muss sich eben auch oft selbst einschränken. Wer kein offenes Profil haben möchte auf der Maschine, dem legen ich Portable Firefox ans Herz das man auf einem USB-Stick herumtragen kann und auf verschiedenen Rechnern einfach mit ein und dem selben Profil und Bookmarks surfen kann (das ist auch was für Perry in der Arbeit
) .Eines ist aber noch: Sollte der kleine Bruder raus finden das man nur ein neues Profil anlegen muss um alle Restriktionen zu umgehen, wird es wieder blöd. Man könnte jetzt einfach hergehen, ein neuen Windows Nutzer anlegen fürs Surfen und diesen extrem stark einschränken, sprich Sandboxie und alle Sicherheitssachen dort installieren, Konfigurieren und ein Mandatory Profile[3] aus dem Windows Profil machen. Dazu geht man als Admin in seinen Profilordner (z.B.: c:\dokumente und einstellunge\mein user\) und lässt sich die versteckten Dateien anzeigen. Dort befindet sich eine NTUSER.DAT, diese benennt man einfach um in NTUSER.MAN und schränkt die Berechtigungen ein sodass nur noch lesen mit dieser Datei möglich ist. Wenn sich etwas am Profil ändert, reicht ein Ausloggen und alle Änderungen sind weg. Aufpassen: Bei Mailprogrammen sollte man seinen Mailordner vor dem ändern in ein Mandatory Profile woanders hinlegen, sonst verliert man alle Mails die reinkommen!!!!
Kurz zu dem Mandatory Profil (damit Ihr nicht dumm sterbt *G*)
Eines Tages dachten sich die NT Entwickler das Firmen es nicht begrüßen wenn Ihre Mitarbeiter Sachen in den Eigenen Dateien Speichern können bzw. Ihre Einheitlichen Einstellungen ändern. Dann hat irgendein Depp gesagt: Machen wir doch schreibgeschützte Profile. Raus kam eben dieser Trick mit dem Mandatory Profil, was mehr ärger verursachte als es nutzte. Nutzer beschwerten sich das Sachen die auf dem Desktop lagen zur Zwischenspeicherung weg waren weil der Rechner abstürtzte, Admins beklagten sich nicht nur über die Anrufe der Nutzer, sondern auch darüber das diese jetzt temporäre Daten übers Netzwerk sichern und damit oft extremen Traffic verursachen (Schonmal eine 500 MB Excel Datei über ein vollbelastetes 100mbit Netz geschoben?). Schlimmer noch: Das ganze wurde von den NT Entwicklern so extrem schlecht umgesetzt (oder war es ein Feature?) das es einfach suxxte: Sobald ein Profil ein Mandatory Profil war, konnte man es nicht wieder ändern! Wenn ich also ein Nutzer wieder seine Rechte geben wollte, musste ich ein neues Profil anlegen und die Daten händisch rüberschieben.
Nicht genug, es ging weiter. Ich kann ja Gruppen und Userrichtlinien ändern. Sobald ein Mandatory Profil einmal geändert wurde vom Admin bzw. seine Gruppenrichtlinie, konnte man das Profil nicht mehr aufmachen. Das war nicht nur nervig, man musste Hacker spielen und den User kurzzeitig in eine Temporäre Gruppe schieben und wieder in die Usergruppe zurück um nicht das Profil neu anlegen zu müssen.
Heute Dient es eigentlich nur um ein extrem eingeschränktes Profil zu haben das nie wieder geöffnet werden sollte. Im Unternehmenseinsatz geht man allerdings wieder zurück zu den Terminalservern (Citrix, LTSP und Co.), die Clientstations interessieren nicht mehr so. Ein Terminalprofil kann ich Serverseitig besser Verwalten als einen Client, den das Lokale Profil wurde ja nie überschrieben, sondern die Profildaten auf einem Windows Domänen Server der das Profil eigentlich Hosten sollte. Wer also ein Profil einschränkt, der tut das für immer. Aber der Lohn dafür ist, kein Virus der den Nutzer angreift, kann ins Profil oder ins System schreiben. Und DAS ist schonmal viel Wert, oder nicht?
Links
[1] https://addons.mozilla.org/firefox/2553/
[2] http://www.firefox-browser.de/wiki/Profil
[3] http://support.microsoft.com/KB/307800
Happy hacking
Lord
Lesezeichen
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Forumregeln
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 12:34:49 Uhr.