Sicherheitsrestriktionen von Firmen-Laptops und PC's

Zitat von gamma

Ich möchte vor allem um jeden Preis verhindern, dass der Rechner irgendwann nicht mehr startet oder das Windows einen Alarm an die Zentrale sendet weil ich irgendwas verstellt habe - zB SecureBoot ausgemacht.

Wir sind meine Chancen? Vielen Dank!

Also ich würd am Firmenlaptop erst herumspielen, wenn sie es dir nach Ende der Nutzungszeit überlassen.

Insbesondere, wenn es dir um Privatsphäre geht. Die Thinkpads sind nicht ohne Hintergedanken bei den Firmen so beliebt.

wegschmeissen nicht, kannst die Platte ja noch immer formatieren. Secure boot ausschalten musst du nur wenn du von USB Medien booten willst mit nem recovery OS oder so. Aber Bitlocker recovery key brauchst wenn du auf die Platte zugreifen willst. So kann man auch nen Recovery OS nutzen; im OS wirst du dann nach dem BL recoverykey (scheisselang das Ding..) gefragt wenn du auf die Platte zugreifen willst. wenn alles gefixt ist, secureboot wieder aktivieren

Zitat von Fratzengeballer

an dem Secure boot key sollte man nicht herumspielen, ohne Bitlocker Recovery key ist dein Laufwerk sonst für immer Bitlocker verschlüsselt, wenn deine IT den nicht gespeichert hat oder er nicht im Azure AD hinterlegt ist, kannst Du das Laufwerk wegschmeissen.

Ich wäre ziehmlich angepisst, wenn mir so ein zerspieltes Gerät einer vorbeibringen würde und der User würde mir sagen, er hätte versucht da Linux draufzupacken...

Wenn der key nicht gerade 1234567… ist haha

Von Firmengeräten unbedingt die Finger lassen, wozu den Ärger riskieren?

Ich verzichte schon sehr lange auf jegliche Firmengeräte, den letzten Laptop/Handy hatte ich vor über 10 Jahren.

Auch wenn ich auf beiden Geräten im Prinzip machen konnte was ich wollte - nein danke. Kein Bock auf zusätzlichen Elektroschrott der hier rumliegt.

Ich bin froh mittlerweile bewusst auf alles externe zu verzichten, egal ob Firmenwagen, Handy, Laptop oder über 80% vom Werkzeug. Freiheit ist unbezahlbar

Wie wärs mit einer VM die ohne externe Zusätze auskommt.

Läuft auch vom USB Stick im installierten Windows und wäre wohl keine Veränderung.

matze79

Wenn der Laptop so eingerichtet ist wie unsere Firmenrechner, dann kann man keine VMs einrichten (HyperV deaktiviert und die Installation zusätzlicher Software ist nur als Admin möglich).

Oder kennst du eine VM Software, die ohne Installation läuft?

Da würde ich auch lieber ein Live Linux mit Persistance nehmen, das reicht doch zum Surfen aus und verändert das installierte System nicht.

Man braucht noch nicht mal was im BIOS ändern, denn die Rechner der letzten Jahre erlauben im Regelfall die Auswahl des Bootlaufwerkes über eine Funktionstaste.

Ohne HyperV geht schon, ist aber halt sehr langsam.

Zitat von gamma

Nee, im installierten Windows werde ich nichts rumspielen. Die USB-Ports sind da auch gesperrt damit man keinen Unsinn per Stick installieren kann.

Glückwunsch zum tollen Arbeitgeber

Ja ich verstehe das schon, aber sobald du eine Netzwerkverbindung hast geht das ja auch.

Dann war also dein Bootloader unsigniert.

Welche Distro hattest du zuvor benutzt ?

Zitat von gamma

Frage auch schon geklärt...openSUSE-Leap bootet auf dem Teil..ohne komische Meldungen und ohne im BIOS was zu verstellen. Mehr wollte ich gar nicht und ich denke da kann nichts passieren und niemand bekommt es mit.

Sollte noch weiterer Bedarf der Diskussion bestehen, würd ich es in den "neuere Rechner" Bereich auslagern, das sprengt hier dann doch so langsam den Rahmen der "kleinen" Frage.

Zitat von gamma

Da gabs doch mal ne Story dass USB-Sticks mit Trojaner auf einem Firmengelände liegen gelassen wurden und die Mitarbeiter dem Angreifer so Zugriff zum Firmennetzwerk verschafft haben.

So haben es Nick und Kee in "Extraleben" gemacht.

Zitat von gamma

Zitat von matze79

Glückwunsch zum tollen Arbeitgeber

Ich finde das durchaus verständlich und angemessen um Angriffe zu erschweren. Da gabs doch mal ne Story dass USB-Sticks mit Trojaner auf einem Firmengelände liegen gelassen wurden und die Mitarbeiter dem Angreifer so Zugriff zum Firmennetzwerk verschafft haben. War das nicht sogar bei den Atomanlagen im Iran so?

[...]

Also das mit den USB Speichermedien (also nicht USB Flash Memory sondern auch andere USB-fähigen Geräte wie DVD-R/W-Brenner usw.) kriegt man professionell auch anders im Griff, bspw. mit einer Group Policy für "Removable Media", da muss man nicht gleich alles sperren. Allerdings kommt man auf solche Geräte auch - wie schon hier kolportiert - immer noch via Netzwerk (ftp, https, ssh usw.). Da wird üblicherweise auch Endpoint-Security Software eingesetzt, die das, was über das Netzwerk geht, überprüft. Und Bitlocker ist für Firmengeräte dann auch sinnvoll, wenn es Notebooks sind, die auch gerne mal im Hotel oder auf dem Flughafen oder wo auch immer man sich auf Reisen befindet geklaut werden könnten.

Daher würde ich auch das so pauschal sagen - Finger weg von Veränderungen an einem Firmen-Notebook. Ein Image-Backup der verschlüsselten Platte geht aber immer, das kann man zur Not dann wieder draufklatschen, falls was kaputt gegangen ist.