Eine Festplatte mit 2 Partitionen:
Auf der ersten (NTFS nur Administratorrechte, für normale User gesperrt), läuft XP Professional und alle zusätzlichen Programme.
Auf der zweiten liegen die Daten (alle User alle Rechte).
Der Rechner ist über eine Fritzbox (mit Hardware- Firewall) mit dem Internet verbunden. Selbstverständlich ist die XP- Firewall auch eingeschaltet.
Aus verschiedenen Kompatibilitätsgründen soll die zweite Partition mit FAT32 statt wie üblich mit NTFS formatiert werden. Erleichtert das Hackern den Zugriff gegenüber einer NTFS- Partition oder spielt das keine Rolle?
Auf der zweiten liegen die Daten (alle User alle Rechte).
Erleichtert das Hackern den Zugriff gegenüber einer
NTFS- Partition oder spielt das keine Rolle?
Uh. FAT32 kennt keine Rechtevergabe auf Benutzerebene. Das Problem in dieser Konstellation dürften nicht die bösen Hacker aus dem Internet sein, sondern die Tatsache, daß damit die Privatsphäre der einzelnen Benutzer untereinander nicht sichergestellt werden kann.
Wie verhält es sich bei XP Home?
Hier ist es prinzipiell möglich, Berechtigungen zu vergeben, da NTFS unterstützt wird. Lediglich das Tool, um die Berechtigungen zu vergeben, ist nicht enthalten, so daß du praktisch die gleiche Situation wie bei einer FAT32-Partition hast. Microsoft bietet aber ein Tool an, um die Berechtigungen zu setzen: http://support.microsoft.com/kb/825751/de?spid=3221&…
Hier ist es prinzipiell möglich, Berechtigungen zu vergeben,
da NTFS unterstützt wird. Lediglich das Tool, um die
Berechtigungen zu vergeben, ist nicht enthalten, so daß du
praktisch die gleiche Situation wie bei einer FAT32-Partition
hast. Microsoft bietet aber ein Tool an, um die Berechtigungen
zu setzen: http://support.microsoft.com/kb/825751/de?spid=3221&…
was aber nicht viel nützt, weil der andere User ja an die Hardware heran kommt und nur eine Knoppix-CD einlegen muß um die Rechtevergabe von Windows unwirksam zu machen. Die Windows-Rechte machen nur im Netzwerk Sinn, wenn der User nicht an die Hardware herankommt, z.B. Server in der Firma.
was aber nicht viel nützt, weil der andere User ja an die
Hardware heran kommt und nur eine Knoppix-CD einlegen muß um
die Rechtevergabe von Windows unwirksam zu machen.
Dann setzt man eben ein BIOS-Passwort und schaltet das Booten von CD ab.
Die
Windows-Rechte machen nur im Netzwerk Sinn, wenn der User
nicht an die Hardware herankommt, z.B. Server in der Firma.
Wohl kaum. Eine sinnvolle Rechtevergabe die z.B. die Systemdateien nur für den Administrator schreibbar macht, verhindert schonmal, dass ein Virus (oder ähnliche unerwünschte Dinge) sich hinreichend tief ins System einnisten können.
Nicht umsonst sollte man z.B. nicht als Administrator surfen.
Dann setzt man eben ein BIOS-Passwort und schaltet das Booten
von CD ab.
wo gibt es nochmal das Bios, das kein Masterpasswort hat?
Wie wärs mit einem Phoenix-BIOS?
Außerdem: Jeder Schutz lässt sich irgendwie umgehen, den nötigen Aufwand vorausgesetzt. Ziel von IT-Sicherheitsmaßnahmen ist, den Aufwand so weit zu erhöhen, dass das Risiko eines Angriffs minimiert wird. 100%ige Sicherheit wirst du nie erreichen.
Nicht umsonst sollte man z.B. nicht als Administrator surfen.
Was bei der gegebenen Erlaubnis, ein Active-X-Modul zu
installieren, nicht viel nutzt.
Der Rechner ist über eine Fritzbox (mit Hardware- Firewall)
mit dem Internet verbunden. Selbstverständlich ist die XP-
Firewall auch eingeschaltet.
Doppelt gemoppelt.
Aus verschiedenen Kompatibilitätsgründen soll die zweite
Partition mit FAT32 statt wie üblich mit NTFS formatiert
werden. Erleichtert das Hackern den Zugriff gegenüber einer
NTFS- Partition oder spielt das keine Rolle?
Für Hacker, die sich direkten Konsolenzugang zur lokalen Maschine verschaffen konnten, also in der Praxis untreue Angestellte, ist das Tor dann offen.
Für einen Hacker aus dem Internet, der sich irgendwie von außen durch die Fritzbox auf den PC hackt (was übrigens in der Praxis so selten vorkommt dass man das Szenario vernachlässigen kann - außer man ist mit so wertvollen Daten beschäftigt dass sich ein solcher Hack lohnt …) macht es keinen Unterschied, ob FAT32 oder NTFS, er bewegt sich, wenn er Erfolg hat, mit System und/oder Adminprivilegien und gegen den ist betriebssystemseitig kein Kraut gewachsen.
Ein (wesentlicher wahrscheinlicher) Angriff, der über ein vom Benutzer unvorsichtiger Weise ausgeführtes Schadprogramm führt, kann je nach Schädling an NTFS Rechten scheitern (wenn dieser sich der Einfachheit halber damit begnügt, sich an die Rechte des Benutzers zu hängen), oder er kann als Admin/System unterwegs sein, wenn er sich tiefer ins Betriebssystem verankern kann. NTFS könnte hier theoretisch helfen, den Schaden zu begrenzen.
Aber die Hackszenarien sind extrem unwahrscheinlich. Ich würde deshalb das wesentlich naheliegendere Ausschlusskriterium (Schutz der Daten der einzelnen Benutzer voreinander) als Messlatte nehmen.
[…] ein Hacker aus dem Internet[…] bewegt sich, wenn
er Erfolg hat, mit System und/oder Adminprivilegien und gegen
den ist betriebssystemseitig kein Kraut gewachsen.
Nun, aber wenn man nicht unbedingt immer als Admin unterwegs ist, muß man - so man in die Kiste über den Surf-Account eingebrochen ist dazu seine Privilegien ausbauen, etwa wenn eine lokal auszunutzende Sicherheitslücke im System ist. Das wollen wir doch nicht hoffen, oder?
Ein (wesentlicher wahrscheinlicher) Angriff, der über ein vom
Benutzer unvorsichtiger Weise ausgeführtes Schadprogramm
führt, kann je nach Schädling an NTFS Rechten scheitern (wenn
dieser sich der Einfachheit halber damit begnügt, sich an die
Rechte des Benutzers zu hängen), oder er kann als Admin/System
unterwegs sein, wenn er sich tiefer ins Betriebssystem
verankern kann. NTFS könnte hier theoretisch helfen, den
Schaden zu begrenzen.
Für einen Hacker aus dem Internet, der sich irgendwie von
außen durch die Fritzbox auf den PC hackt (was übrigens in der
Praxis so selten vorkommt dass man das Szenario
vernachlässigen kann - außer man ist mit so wertvollen Daten
beschäftigt dass sich ein solcher Hack lohnt …) macht es
keinen Unterschied, ob FAT32 oder NTFS
Doch, es macht sehr wohl einen Unterschied.
Zum einen wird kaum ein Hacker versuchen, die Fritzbox zu hacken und dann weiter zu deinem PC zu kommen. Wozu auch? Heutzutage verschickt man Trojaner oder nutzt Lücken im Browser aus, um System zu kompromittieren. Davor schützt dich die Fritzbox überhaupt nicht.
Angenommen folgendes Szenario:
Der User surft mit einem Account mit abgespeckten Rechten, so dass er keine Admin-Rechte hat und auch keine erlangen kann. Das Betriebssystem ist up-to-date, wir nehmen also an, dass es auch keine Lücken gibt, die man mal so einfach ausnutzen könnte, um sich durch einen Exploit Administratorrechte zu verschaffen. Der Benutzer hat schreibenden Zugriff nur auf sein Home-Verzeichnis.
Der User ist dabei unvorsichtig und öffnet einen mit einem Virus/Trojaner/sonstwas infizierten Anhang. Bei NTFS kann die Schadsoftware nicht viel machen, da sie unter dem Useraccount läuft und somit keinen Zugriff auf die Systemdateien hat um das System ernsthaft infizieren zu können.
Bei FAT32 besteht keine Rechteverwaltung, d.h. hier könnte der Virus trotz des Nicht-Admin-Accounts bestimmte Systemdateien infizieren und sich so tief ins System einnisten.
Da ein Virus/Trojaner-Szenario wesentlich wahrscheinlicher ist, als ein Hackerangriff eines menschlichen Hackers, spricht doch einiges dafür, eher NTFS zu nutzen, als FAT32. Der Sicherheitsgewinn ist IMO beträchtlich (natürlich nur, wenn man mit einem nicht-privilegiertem Account arbeitet).