Heute hat mich ein Newsletter der PC-Welt erreicht. Folgender Auszug aus der Mail erwarb meine Aufmerksamkeit:
WINDOWS XP, VISTA
Zwangskonfigurierten Bildschirmschoner austricksen
Der Systemadministrator hat die Wartezeit für den Bildschirmschoner mit anschließender Benutzersperre sehr kurz eingestellt. Wer da nicht permanent an der Maus rüttelt oder irgendetwas eintippt, muss sich immer wieder neu anmelden ? auf die Dauer nervt das…
Das will ich sehen, wie die eine Gruppenrichtlinie umgehen wollen. Also weiter auf den Artikel klicken und weiterlesen.
Zunächst sollten Sie natürlich versuchen über einen Rechtsklick auf den Desktop-Hintergrund und „Eigenschaften“ (XP) oder „Anpassen“ (Vista), auf der Registerkarte „Bildschirmschoner“ die Wartezeit zu erhöhen. Ist das Feld jedoch ausgegraut, brauchen Sie unser Script pcwXxXxxxx.vbs.
Okay, falls man den Anwendern die Zeit einstellen lässt, kann dieses eine Lösung sein.
Nachdem Sie es per Doppelklick aufgerufen haben, „drückt“ es alle 50 Sekunden virtuell die Rollen-Taste. Sie können das verfolgen, da alle 50 Sekunden die zugehörige LED auf der Tastatur blinkt. Das System wertet das als Benutzereingabe, und der Bildschirmschoner startet nicht. Da diese Taste in der Regel nicht gebraucht wird, stört das auch nicht weiter.
Wo blinkt denn so eine Taste?? An meinem Notebook wird es nicht passieren.
In Autostart packen: Falls das Script bei jedem Windows-Start automatisch aktiv werden soll, klicken Sie mit der rechten Maustaste auf den „Start“-Knopf und gehen auf „Öffnen“. Im neu aufgerufenen Fenster wählen Sie „Programme, Autostart“, kopieren das Script dorthin und starten den Rechner neu.
Da denkt man nach 2 Tagen nicht mehr dran, dass man eine Sicherheitslücke produziert hat.
Wie hieß das früher in einer Werbung: und läuft, und läuft, und läuft
PC gezielt sperren: Wenn Sie den Rechner zwischendurch wirklich einmal sperren wollen, weil Sie sich einen Kaffee holen oder Essen gehen, dann drücken Sie einfach <Win>-<L>.
Der Hinweis auf die Kombination Windows-Taste + L finde ich sehr hilfreich, da dieses in der Regel nicht sehr bekannt ist.
Abschalten: Um das Script bei Bedarf wieder zu deaktivieren, löschen Sie es aus dem Autostart-Ordner und melden sich ab und wieder an beziehungsweise starten den Rechner neu.
Die Idee mit dem Autostart finde ich total doof. Somit unterwandert man dauerhaft die eingestellte Konfiguration, die voraussichtlich durch einen Administrator eingestellt wurde, da es (hoffentlich) um die IT-Sicherheit ging. In der Regel werden diese Werte nicht aus Frust des IT-Personals eingestellt.
Solche Einstellungen habe ich auch in privaten Umgebungen eigentlich noch nie gesehen, zu mindestens, dass diese nicht veränderbar sind, so dass dieses Skript sich voraussichtlich in Firmen- bzw. Großumgebungen auswirken wird und Datensicherheitsrichtlinien unterwandert.
Vor dem Download kann man auch noch folgendes lesen:
Hinweis: Manche Virenscanner erzeugen beim Aufruf dieses Scripts einen Fehlalarm.
Das bei Eingriffen per Befehl Sendkeys in das System der Virenscanner anschlägt, ist auch völlig in Ordnung, da entsprechend auch “unerlaubte” Tastatureingaben im Hintergrund (wie nannte es die PC-Welt: virtuell) durchgeführt werden können. Diese Technik könnte sonst auch von Kriminellen genutzt werden.
Da wundert man sich doch nicht mehr über die Situation der Datensicherheit in Deutschland ?!
In der Regel handelt es sich allerdings bei der Installation dieses “Skriptes” um einen unerlaubten Eingriff in das Arbeitsplatzsystem und um eine Verletzung der Sicherheitsrichtlinien des Arbeitgebers. Dieses kann zu einer Abmahnung führen.
Ob es das wirklich wert ist, muss jeder für sich selber entscheiden. Man sollte allerdings sich dann nicht wundern, wenn die Kollegen doch einmal mehr von dem Daten und E-Mails des Kollegen wissen als gewollt.
Ich habe absichtlich den Dateinamen verfremdet sowie keinen Link eingefügt, um diese Vorgehensweise nicht zu unterstützen.
Ich distanziere mich von der Möglichkeit zur Umgehung der IT-Sicherheitsrichtlinien.
Hier mal eine andere Sicht auf die Dinge. In unserem Unternehmen ist die globale Installation so eingestellt, dass der Screen Saver nach 15 min Inaktivität angeht und man sich mit UN und PW neu anmelden muss. Fakt ist, dass die meisten Leute diese Funktion so benutzen, dass sich eben nicht mit Win+L ausgeloggt wird, sondern der PC das ja schließlich schon irgendwann erledigen wird. Also ca. 15 min Zeit die man als potenzieller Angreifer damit verbringen kann, den besten Moment abzupassen um an die Daten auf dem Rechner zu gelangen. In meinen Augen sollten ehr die User sensibilisiert werden sich, wenn angebracht, vom System abzumelden. Durch diese Gängelung der automatischen Abmeldung hat man in meinen Augen nur Nachteile. Die User werden unsensibel was das Ausloggen betrifft und bei online Präsentationen werden alle gegängelt immer mal wieder am PC Aktivität zu zeigen, damit der Rechner bloß nicht einschläft. Wenn ich meinen Rechner verlasse, logge ich mich aus auch wenn ich nur mal eben zum Drucker laufen muss. Jegliche Form solcher Automatisierung fördert in meinen Augen nur die Trägheit Sicherheitskonzepte umzusetzen. Klar kann man sagen, dass nicht jeder User so gewissenhaft ist sich vom System abzumelden, dann muss aber meines Erachtens schon nach einer Minute Inaktivität der Bildschirmschoner anspringen, damit ich ein Minimum an Sicherheit erhalte, ob das dann aber nicht den Aufschrei des Jahrhunderts im Betrieb auslöst ist dann aber mal eine ganz andere Frage.
Es gibt nun mal verschiedene Anforderungen, die nur schwer vereinbar sind.
Beispiel: Arbeit in der Entwicklung mit teilweise kniffligen Problemstellungen, die Recherche und Überlegung erfordern.
Der Entwickler kann es absolut nicht brauchen, wenn alle 2 Minuten der Bildschirm gesperrt wird. Das verhindert teilweise sogar die Arbeit. Schließlich muss er jedes Mal wieder die Stelle suchen, an der vorher der Cursor stand, und bis dahin ist der Bildschirm schon wieder weg.
Der Sicherheitsmensch will es aber nicht dulden, dass im Unternehmen irgendwo ein Bildschirm unbeaufsichtigt eingeschaltet wird. Deshalb wird eben per GPO für alle der Bildschirm nach 120 Sekunden gesperrt. Das kann der Benutzer natürlich auch nicht ändern.
Natürlich wird sich dann niemand mehr die Mühe machen, manuell den Bildschirm zu sperren.
Hier wären eigentlich angepasste GPOs nötig (z.B. nach Aufgaben, Abteilungen, Rollen). Oder eben eine bessere Einbindung der Mitarbeiter in das Sicherheitskonzept, z.B. Hinführung zu diszipliniertem Umgang mit dem Abmelden. Schließlich ist der Zweck des Arbeitsmittels Computer ja vorrangig die Arbeit.
Leider wird das häufig übersehen. Nach dem Motto „Sicherheit geht vor“ werden alle mit allzu restriktiven Maßnahmen schikaniert. Die erscheinen demjenigen, der darunter leidet, nicht besonders plausibel.
Klar werden dann findige Köpfe eine Umgehung oder „Unterwanderung der Unternehmenssicherheit“ herausfinden (müssen).