Sperren von MS-Windows installierversuchen

[fzr]

hi,

wie kann ich sicherstellen, dass kein MS OS aufnem pc mehr installiert werden kann, nur noch linux, etc?

floppy raus? sata-festplatten rein? ...?

dankschön

gruss

[herrchen]

wie kann ich sicherstellen, dass kein MS OS aufnem pc mehr installiert werden kann,

gegen eine wildgewordene hausfrau dürfte es ausreichen, im BIOS das booten von cd zu unterbinden und dann den passwortschutz einzuschalten.

herrchen

[fzr]

*G* sicher...

abers muss hier schon erfahrenen "windows-freaks" oder profi-personal standhalten.

bios passwort is mit cmos-batterie weg.

[Gimli]

Gehäuse abschliessen

Anders wirds wohl nicht gehen.

mfg Gimli

[Columbo0815]

Ok, mein Vorschlag ist wahrscheinlich nicht umsetzbar, aber dennoch eine sichere Variante: Non-Windows-Architektur-Hardware aufstellen. Sprich: zB PowerPC-Prozessoren etc

Gruß

[fzr]

mhh, nein, es müsste profipersonal, dass auf (zivilrechtliche) gerichtliche anweisung arbeitet überfordern... ein schloss hindert die nich.

ich dachte der aktuelle xp installer brauch die floppy für sata treiber?
gibts da noch mehr?

vielleicht werd ich dochnochn freund von ibm's linux "tcpa"...
aber son chip hat die kiste eh nich.

update:
ach hp war das. un mein thinpad t23 hat einen drin... *grml* oder nich? muss checken.

[herrchen]

bios passwort is mit cmos-batterie weg.

was ist das für ein umfeld, in dem man mit solchen aktionen rechnen muss?

never apply a technical solution to a social problem ...

herrchen

[fzr]

da hast recht. aber pleite gehen kannst du auch och. oder bist beamter?

[uljanow]

es gibt notebookfestplatten die man mit nem passwort schützen kann. dieses wird dann auf der festplatte gesperichert. bei einigen 3,5" festplatten und mit der passenden biosvariante dürfte das auch für pcs anwendbar sein.

mhh, nein, es müsste profipersonal, dass auf (zivilrechtliche) gerichtliche anweisung arbeitet überfordern... ein schloss hindert die nich.

interessiert diese herrschaften nicht eher der festplatteninhalt? was wiederum ein fall für gpg wäre.

[nepos]

Auch diese BIOS-Passwoerter fuer Festplatten sind absolut kein Schutz, wenn man den entsprechenden Aufwand betreibt.

[123456]

mhh, nein, es müsste profipersonal, dass auf (zivilrechtliche) gerichtliche anweisung arbeitet überfordern... ein schloss hindert die nich.

Was bitte ist der Sinn der Übung hier Win* zu installieren?

[gOtNoPhEaR]

Wenn die Spass da dran haben Windows zu installieren dann zieh dir einfach nen Image von den Kisten und spiel es dann wieder zurück...

[Mr_Snede]

Du könntest auch in der Art von Thinclients dir den Desktop für den jeweiligen Client von einem Server holen.
Oder startest die Rechner mit einem Betriebssystem von CD-ROM (Knoppix, Damn Small Linux, ) bzw von einem Rom Modul mit IDE Interface.
Wenn dann keine Festplatte mehr im Client ist, dürfte sich das mit dem Installieren eines anderen Betriebssystem erledigt haben.

cu Sebastian

[storm]

Was meinst du mit "Profipersonal mit gerichtlicher Anweisung"? Ermittler? Was willst du schützen? Und warum solten die Windoze installieren wollen, wenn es doch einfacher wär, die Festplatte kurzerhand in einen anderen Rechner zu hängen?
Für ATA-Festplatten gibt es da noch das Security Feature Set, ist Bestandteil der Spezifikation. Hdparm kann die Flags anzeigen und bearbeiten.

ciao, storm

/edit: bearbeiten ist doch noch Zukunftsmusik, ich war mir nicht mehr sicher. Die Patches für hdparm und noch mehr: http://www.heise.de/ct/ftp/projekte/atasecurity/

[schoeppchen]

Watchdog-Karten sind da prima, die restaurieren bei Systemboot einen konsistenten Stand. Aber auch diese lassen sich ausbauen und wenn du schon arge Bedenken hast, dass - wer auch immer - den Rechner aufschraubt, naja - ich weiß nicht.

Von welchem Umfeld sprechen wir denn?

[tiax]

klingt mehr nach Sozialstunden o.Ä.

[ThoWaBu]

Da die Hardware dem Benutzer wohl zugänglich ist,
dürfte der Netzwerk Boot so das einzigste sein was hilft.

Wie wäre es wenn du von einem USB-Stick Bootest ?
(wieder ohne Festplatte)
Ich habe noch nicht von einem auf nem Usb-Stick-Windows gehört

Man müsste irgendwie die Festplatte sicher bekommen.
Aber da der Benutzer *vor* dem Rechner sitz, no chance oder ?

[r2k]

ehm hallo?

1. Kaufe dir eine SUN oder sonst eine non X86 Architekur
2. Stelle den jetzigen PC in einen anderen Raum (abschliessbar) und lasse die Personen nur über eine Terminalsession arbeiten.

Denn alles was man an IT Material anfassen kann ist unsicher

Gruess
r2k

[tiax]

Warum denn ein Terminal, es reicht doch einfach ein langes Kabel für Maus, tastatur und Bildschirm

[Manfred]

Warum denn ein Terminal, es reicht doch einfach ein langes Kabel für Maus, tastatur und Bildschirm

Wie willst du denn die Kabel verlegen.

KVM-Switch über TCP/IP wäre da auch eine Lösung.

Mir gefällt folgende Lösung:

BIOS per Passwort sichern
CD/DVD-Laufwerke ausbauen
PC-Gehäuse abschließen.

Wer jetzt noch Windows installieren will, braucht schon einiges an krimineller Energie!

Ansonsten ist auch die Terminalversion eine gute Idee. Da kann ich auch "alte" PC's ohne Laufwerke nutzen. Und an den Server kommt normalerweise der User nicht ran. Ergo kann er auch gar nichts mehr installieren.

Ich frage mich nur, was das für ein Umfeld ixt, wo ich meine PC's so vor den Usern absichern muß.