W7 64Bit Ulti., manuellen Zugriff auf Dateien sperren, nur Programm hat Erlaubnis

[RycoDePsyco]

Hallo ich ich hoffe ich bin hier richtig.
Ich möchte mein Rechner für eine Veranstaltung zur Video Präsentation ausleihen.

Leider kann aber jeder an den Rechner und die Videos kopieren.

Damit das nicht passiert suche ich einen geeigneten Zugriff Schutz.

1.) In erster Linie mache ich in Windows 7 ein eigenen Benutzer.
2.) Jetzt müsste ich was finden was USB, FireWire und LAN Blockiert aber jederzeit per Code geöffnet werden kann, falls ich noch eine FP anschließen muss, ohne den PC neu zu starten!
3.) Es dürfen keine Bild und Videodateien kopiert, verschoben, ausgeschnitten werden können.
4.) Nur speziell ausgewählte Programme haben Zugriff auf die Dateien oder Ordner.
5.) Auch wenn das Sicherheitsprogramm geschlossen wird muss der Zufriff verwert bleiben.
6.) Der Benutzer darf nur das eine für Ihn freigebende Programm sehen und zugriff haben.
7.) In einem Ordner werden die Dateien zur Verfügung gestellt wo das Programm zugriff haben darf, der User aber nicht.
8.) Alle anderen Dateien und Programme ist der Zugriff verboten noch besser gar nicht erst sichtbar.

So so gesehen darf nur der Videoplayer auf das Video zugreifen sonst niemand weiter.

Könnt Ihr mir da weiterhelfen?
Gibt es ein Sicherheitsmanager Programm bei den ich Zentral alles einstellen kann?

Vielen Dank

 

[Deleted member 11740]

Sobald jemand physischen Zugriff auf die Kiste hat, hast du nicht viele Möglichkeiten. Ein Schritt in die richtige Richtung wäre noch die Dateisystemverschlüsselung (nativ unter Windows). Dann kann nur der angemeldete Nutzer mit den Daten etwas anfangen. Schnitstellen wie LAN, USB sollten hardwaremäßig nicht zugänglich sein. Wahrscheinlich wirst du auch über die Sicherheitsrichtlinien unter Windows einstellen können, dass normale User keine Massenspeichermedien bzw. neue Hardware nutzen können. Dafür kenne ich mich mit Windows aber zu wenig aus, um genauere Hinweise geben zu können.

 

[RycoDePsyco]

Mich wundert es das es da keine Steuerungssoftware Sicherheitssoftware gibt.

Das liegt doch nahe, gerade wenn Admins die Rechner einfach schnell absichern wollen.

 

[danton]

Prinzipiell kannst du deinen Rechner über die Gruppenrichtlinien absichern und das meiste von dem erreichen, was du willss. Das Verzeichnis mit den benötigten Mulitmedia-Dateien kannst du über Zugriffsrechte im Dateisystem schützen, so daß sie nicht verändert werden können.
Das sind übrigens Windows Bordmittel (die Gruppenrichtlinien erst ab der Professional Variante).
Das ganze gilt übrigens nur innerhalb von Windows. Wenn es jemand schafft, den Rechner mit einem alternative System (Linux-Life-CD o.ä.) zu booten, hat er natürlich vollen zugriff auf die Festplatte.

 

[RycoDePsyco]

Danke für den Hinweis.

Das Problem ist das Windows nicht weit genug geht oder ich zu wenig Ahnung davon habe.
Bisher habe ich so etwas nicht gebraucht.
Und jetzt Konsole deswegen lernen sehe ich auch nicht als Sinnvoll an.

Ultimate Win7 habe ich ja so ist es ja nicht.
Aber es fängt ja an wenn ich ein Ordner auf den Desktop habe, dann gehört er den Benutzer, selbst dann wenn ich Ihn durch den Admin erstellt habe.
Damit übergeht Windows meine Zugriffsrechte.

Wenn ich den Zugriff auf den Ordner für den Benutzer sperre aber nur für den Admin frei gebe, geht das nicht da ich nicht mal mit dem Admin dann Zugriff auf den Ordner habe, da der Ordner den Benutzer gehört.
Also haben dann beide kein Zugriff drauf.
Hinzu kommt, sobald es Leserechte gibt, gibt es auch automatisch kopieren und verschieben - Rechte.
Das sehe ich schon immer als Nachteil in Windows an, dass das nicht separiert wird.

---

Das einzige was ich jetzt noch machen kann ist alle Speichermedien die per USB, WLAN, Firewire, LAN, Bluetooth dürfen kein Zugriff auf den System haben, also sind deaktiviert und nur eine bestimmte Auswahl hat Zugriff (Maus, Tastatur) oder ein USB Stick der eine Erlaubnis bekommen hat.


1.) Da ist die Frage... gibt es so etwas (ein Programm zum steuern)?
2.) Zweite Frage...Ist das Programm passwortgeschützt?


Wenn das möglich wäre kann auch keiner etwas kopieren.
USB/Firewire/(W)LAN/Bluetooth Festplatten und Sticks würden dann verweigert werden.
Mehr brauche ich nicht.
Es geht nur darum das bei einer Veranstaltung die Daten nicht geklaut werden.
Das da einer mit Linux oder anderen Hilfsmitteln kommt ist unwahrscheinlich.

Vielleicht kann mir da jemand mit ein einfachen Programm helfen.

Danke

 

[danton]

Und jetzt Konsole deswegen lernen sehe ich auch nicht als Sinnvoll an.

Die Gruppenrichtlinien sind ein Snap-In für die Management-Console - aufrufbar über "Start -> Ausführen" und dann gpedit.msc.

Aber es fängt ja an wenn ich ein Ordner auf den Desktop habe, dann gehört er den Benutzer, selbst dann wenn ich Ihn durch den Admin erstellt habe.
Damit übergeht Windows meine Zugriffsrechte.

Nein, der Ordner gehört dem Ersteller. Was du meinst, sind die Zugriffsrechte. Die werden standardmäßig vom übergeordneten Ordner vererbet. Diese Vererbung läßt sich aber unterbinden.

Hinzu kommt, sobald es Leserechte gibt, gibt es auch automatisch kopieren und verschieben - Rechte.

Nein, es gibt kein Kopieren-Recht. Das ist auch ziemlich sinnfrei, denn kopieren ist lesen und an einen anderen Ort schreiben. So ein Kopieren-Recht ist auch ziemlich sinnfrei. Du kannst ja z.B. eine Word-Datei in Word öffnen und dann einfach per Speichern Unter an einem Ort speichern - damit hast du sie ja ebenfalls kopiert. Ich finde es übrigens erstaunlich, daß doch viele User genau auf diese Methode ihren Dateien kopieren, anstatt die Funktion im Explorer zu Kopieren von Dateien zu nutzen.
Das Verschieben wird beim reinen Leserecht übrigens nicht funktionieren, da für das Verschieben Löschrechte notwendig sind.

Das einzige was ich jetzt noch machen kann ist alle Speichermedien die per USB, WLAN, Firewire, LAN, Bluetooth dürfen kein Zugriff auf den System haben, also sind deaktiviert und nur eine bestimmte Auswahl hat Zugriff (Maus, Tastatur) oder ein USB Stick der eine Erlaubnis bekommen hat.

Mit windows-Bordmiiteln gibt es z.B. die Möglichkeit, den Zugriff auf Wechseldatenträger zu unterbinden, die Option befindet sich in der Lokalen Richerheitsrichtlinien (Teil der Gruppenrichtlinien). Dort läßt sich auch die Installation neuer USB-Geräte unterbinden. Es gibt auch Drittanbieter-Tools wie z..B. Device-Lock, die aber oft sehr aufwendig zu konfigurieren sind.
Und die bauen meist auch nur auf das auf, was Windows schon bietet und implementieren dessen Funktionen nicht neu.

Das da einer mit Linux oder anderen Hilfsmitteln kommt ist unwahrscheinlich.

Und das letztere läßt sich auch recht einfach deutlich erschweren: Boot-Reihenfolge im BIOS anpassen (nur von der HDD starten) und das BIOS per Passwort schützen.

 

[Whistler]

Unabhängig von der jetzt ausgebrochenen Diskussion schreit die ursprüngliche Aufgabenstellung nach einer sinnvollen Anwendung von DRM.
Ich würde also das Microsoft SDK herunterladen, ein passendes Schlüsselpaar erstellen und nur den betreffenden Laptop zur Wiedergabe des Videos autorisieren. Damit kann man auch gleich noch andere Kopiermöglichkeiten (wie etwa ein Abgreifen des Datenstroms an der HDMI-Schnittstelle des Laptops) wirkungsvoll unterbinden.

 

[gunnarh]

Was du möchtest ist mit Boardmitteln gar nicht so einfach herstellbar. Daten nur für bestimmte Prozesse (z.B. dem Mediaplayer) zugängig zu machen und (alle) anderen Prozesse auszusperren ist z.b. mit "SafeGuard Advanced Security" möglich - ist eine Lösung die aber eher in größeren Unternehmen im Einsatz ist (Wird von Firma www.conpal.de entwickelt - keine Ahnung ob die auch einzelne Lizenzen vertreiben).

Mit Boardmitteln würde ich es folgendermaßen lösen:
Die zu schützenden Daten in ein Verzeichnis legen, wo der angemeldete Benutzer keinen Zugriff hat. Einen separaten Benutzer anlegen der Zugriff auf die Daten hat (NTFS-Dateirechte). Die Programme für die benötigten Daten (z.B. Mediaplayer etc...) als dieser separate Benutzer ausführen. Dies kann man entweder mit einem Dienst mit hinterlegten Credentials und Startrecht für interaktiv angemeldete Benutzer lösen, oder z.B. mit dem Tool RunasSpc.Wasserdicht wird das allerdings so niemals, denn erstens kann man das Job-File von RunasSpc sicherlich knacken und so an die UserCredentials des anderen Benutzers rankommen, und außerdem lässt sich z.B. aus dem Datei-Öffnen Dialog des gestarteten Programms (z.B. Mediaplayer) heraus ja auf die Dateien zugreifen, und aus diesem Datei-Öffnen-Dialog heraus könnte man somit die Dateien auch an einen ungeschützten Ort verschieben.

 

[RycoDePsyco]

Hallo, ich möchte das Thema nochmals hervorrufen.

Gibt es ein Programm womit ich USB, FireWire und LAN, WLAN, DVD Brenner unterbinden und kontrollieren kann?

So das ich sagen kann, Tastatur und Maus erlaubt, anderes wird immer wieder aus Windows herausgeworfen.

Es muss ja nicht super kompliziert sein mit hunderte von Einstellungen, sondern eher einfach.

Es ist nicht mal schlimm wenn ein Profi das Programm umgehen kann, es geht ja nur eher um Leien die schnell mal was auf den USB Stick kopieren könnten.

Hoffe das es da was gibt.
Danke an alle

 

[danton]

Ist prinzipiell mit Gruppenrichtlinien machbar und z.B. hier beschrieben.

 

[Jesaja]

http://www.itwatch.de/Produkte/DeviceWatch
Das Programm könnte was für dich sein.
Damit werden Wechseldatenträger blockiert und einzelne Sticks usw können so vorbereitet werden, dass die wieder akzeptiert werden.

Ist aber eher für Rechner in Netzwerken gedacht.