Archive for Oktober 2015

Dateien & Internet & KODI Addons + Filme + Serien und ALLES andere schützen vor Kindern

Als Vater von 2 heranwachsenden Kindern stellte sich mir in letzter Zeit immer wieder die Aufgabe in meinem Reich dafür Sorge zu tragen Erwachseneninhalte unzugänglich zu machen. 

Filme, Spiele, Musik... Vieles müssen Kleinkinder nicht unbedingt sehen und hören. Grundsätzlich halte ich nichts von Verboten. Aber das ein oder andere ist sicher nicht förderlich. Man bedenke nur die allseits vorhandene pornografische Internetwelt, die einem um die Ohren fliegt, wenn man als Kind etwas bei Google, Yahoo, Bing & Co eingibt...
Und ja das Kind sitzt irgendwann alleine vorm PC, Notebook, Handy oder Tablet!
Und nein, das Kind hört nicht auf Mama und Papa und öffnet genau diese App, genau diese Seite, genau diese Dateien, die es nicht öffnen soll.

Wer das nicht glaubt, lebt in einer Seifenblase!

Da ich so einiges an Ahnung im IT Segment mitbringe, können auch meine kleinen einen ticken mehr als andere Kinder in diesem Alter.
Und wenn ich einen Schutz einrichte so sollte dieser auch generell gegeben sein und nicht mit ein paar Klicks auszuhebeln sein.

Hierbei soll es um den lokalen Schutz gehen. Um Dateien und Programme auf PCs, HTPCs, Netzwerkfreigaben.
Ich persönlich benutze einen Windowsserver und keinen NAS. Ein Server ist ein normaler PC, auf dem in meinem Fall ein normales Windows 7 läuft, der rund um die Uhr eingeschaltet ist.
Jeder halbwegs moderne NAS bringt Sicherheitsfunktionen mit sich. In wie fern diese sicher sind und für mein Szenario praktikabel kann ich nicht sagen...

Für mich stellte sich nun die Aufgabe meine bisherige Handhabung und Bedienung grundsätzlich beizubehalten und dennoch einen passablen Schutz zu gewährleisten, den der normale User nicht umgehen kann.

Innerhalb meines Netzwerkes, habe ich keinerlei Sicherheitsrichtlinien festgelegt, außer einem Arbeitsgruppenpasswort und einem Passwortgeschützen Account auf meinem Server (der jedoch auch automatisch angemeldet wird), sodass niemand Zugriff auf meine Daten hat, dem ich WLAN Zugang gewähre.
Fern ab davon gibt es keine Passwörter für PCs, Notebooks, Benutzer. Jeder kann auf alles zugreifen ohne Passworteingabe des Servers. Netzlaufwerke sind verbunden, Programme grundsätzlich überall verfügbar.
Der Grund dafür ist, dass ich ohne jeglichen Aufwand von jedem Gerät aus auf alles Zugriff haben möchte. Ich wechsle ständig meine Geräte und möchte keine Flut an Schutzmechanismen eingeben. Schon der klick oder gar die Eingabe eines Passworts zum anmelden stören mich.

Ich habe viel herumprobiert und mit Easy File Locker das ideale Programm für mich gefunden. Zum Start des Programmes kann man ein Passwort vergeben, das ebenso zur Deinstallation als auch im abgesicherten Modus benötigt wird.

Der einzelne PC:
Man wählt im Programm einfach Verzeichnisse oder Dateien aus und kann diese nun unsichtbar, schreibgeschützt oder unzugänglich machen.
Ich mache alle Verzeichnisse stehts unzugänglich. So sehe ich das Sie da sind kann sie jedoch ohne Freischaltung nicht öffnen. So können auch keine Programme ausgeführt werden, die sie sich in den definierten Verzeichnissen befinden.
Möchte ich z.B. Firefox für die Benutzung sperren nehme ich den Programmpfad "C:\Program Files (x86)\Firefox" in die Liste auf.
Um Zugang zu gewähren muss man das Programm starten, sein Passwort eingeben den Schutz deaktivieren und hat Zugriff.

Netzwerkfreigaben:
Sind Verzeichnisse auf einem PC mit Easy File Locker gesperrt so sind sie auch im Netzwerk unzugänglich. Das heißt das auch ein anderer PC keinen Zugriff auf das Verzeichnis hat solange es auf dem Host/Server gesperrt ist.
Das ist Grundsätzlich schon mal ideal. So muss nur ein Schutz auf dem Host eingerichtet werden und nicht auf jedem Gerät. Auch ist damit das umgehen über Netzlaufwerke auf dem selben PC nicht vorhanden.
Es stellt sich aber das Problem, wie man nun von einem anderen PC Zugriff auf die Dateien bekommt, die auf dem Host liegen.

Easy File Locker bietet keine Remotesteuerung. Es bietet keine Kommandozeilenbedienung, was bedeutet das man im Grunde keine Möglichkeit hat Verzeichnisse zugänglich zu machen.

Es gibt nur eine Möglichkeit um die Freischaltung zu veranlassen. psexec

psexec ist ein kleines Tool, das die Ausführung von Programmen über das Netzwerk erlaubt. Da hierfür ein wenig Konfigurationsaufwand nötig ist und man ein wenig Ahnung haben muss, geh ich nicht weiter ins Detail, sondern stelle meine Scripts zur Verfügung und erläutere nur den grundsätzlichen Funktionsablauf.

HOW TO

Das Zip Archiv beinhaltet alle notwendige Dateien. Downloaden und entpacken in ein Verzeichnis freier Wahl.
Easy File Locker installieren, Passwort vergeben und Verzeichnisse schützen.
Eine Verknüpfung zu Easy File Locker in dem entpackten Ordner D3BAadultUnLocker anlegen und zu AdultLocker umbenennen.

Die Datei AdultUnLocker.bat mit einem Texteditor öffnen und alles in GROßBUCHSTABEN anpassen.
setlocal
set "N=C:\PFAD\ZUR\DIESER\BAT\DATEI\AdultLocker.txt"
set "T=%temp%\NamNum.txt"
findstr /n "^" "%N%">%T%
cls
echo.
type %temp%\NamNum.txt
echo.
cls
for /f "tokens=1* delims=:" %%i in ('findstr /b "1" %T%') do set "link_name=%%j"
del %T%
IF "%link_name%" == "x" Goto Unlock
IF "%link_name%" == "" Goto Lock
:Unlock
del C:\PFAD\ZUR\DIESER\BAT\DATEI\AdultLocker.txt
start C:\PFAD\ZUR\DIESER\BAT\DATEI\AdultLocker.lnk
start C:\PFAD\ZUR\DIESER\BAT\DATEI\AdultUnlocker.vbs
Exit
:Lock
echo x>>C:\PFAD\ZUR\DIESER\BAT\DATEI\AdultLocker.txt
start C:\PFAD\ZUR\DIESER\BAT\DATEI\AdultLocker.lnk
start C:\PFAD\ZUR\DIESER\BAT\DATEI\AdultLocker.vbs
Exit
Zu beginn wird abgefragt ob Verzeichnisse derzeit geschützt oder ungeschützt sind.
Das Programm auf dem Host setzt ein x wenn es Verzeichnisse schützt und löscht es wieder, wenn es den Schutz aufhebt.

Nun die AdultUnlocker.vbs im Texteditor öffnen und das Passwort 1111 zu dem Passwort ändern, das bei Easy File Locker vergeben wurde.
Option Explicit
dim objShell
set objShell = WScript.CreateObject("WScript.Shell")
WScript.Sleep 2000
objShell.AppActivate "Easy File Locker"
WScript.Sleep 1000
objShell.SendKeys("1111")
WScript.Sleep 500
objShell.SendKeys("{ENTER}")
WScript.Sleep 1500
objShell.SendKeys("%")
WScript.Sleep 500
objShell.SendKeys("{DOWN}")
WScript.Sleep 500
objShell.SendKeys("{DOWN}")
WScript.Sleep 500
objShell.SendKeys("{ENTER}")
WScript.Sleep 500
objShell.SendKeys("%{F4}")
Ebenso die AdultUnlocker.vbs im Texteditor öffnen und das Passwort 1111 zu dem Passwort ändern, das bei Easy File Locker vergeben wurde.
Option Explicit
dim objShell
set objShell = WScript.CreateObject("WScript.Shell")
WScript.Sleep 2000
objShell.AppActivate "Easy File Locker"
WScript.Sleep 1000
objShell.SendKeys("1111")
WScript.Sleep 500
objShell.SendKeys("{ENTER}")
WScript.Sleep 1500
objShell.SendKeys("%")
WScript.Sleep 500
objShell.SendKeys("{DOWN}")
WScript.Sleep 500
objShell.SendKeys("{DOWN}")
WScript.Sleep 500
objShell.SendKeys("{ENTER}")
WScript.Sleep 500
objShell.SendKeys("%{F4}")
Das war's bereits. Wenn man nun die AdultUnLocker.bat ausführt wird Easy File Locker geüffnet, das Passwort automatisch eingegeben und die Verzeichnisse geschützt bzw. freigegeben und danach Easy File locker wieder geschlossen.

Remotesteuerung
Die Dateien psexec und AdultUnLockerRemote aus dem entpackten Ordner in ein Verzeichnis einer ungeschützten Netzwerkfreigabe verschieben.

Die Datei AdultUnLockerRemote.bat mit einem Texteditor öffnen und alles in GROßBUCHSTABEN anpassen.
echo off & setlocal
set "N=\\IP:ADDRESSE\PFAD\ZUR\DATEI\AUF\DEM\HOST\AdultLocker.txt"
set "T=%temp%\NamNum.txt"
findstr /n "^" "%N%">%T%
cls
echo.
type %temp%\NamNum.txt
echo.
cls
for /f "tokens=1* delims=:" %%i in ('findstr /b "1" %T%') do set "link_name=%%j"
del %T%
IF "%link_name%" == "x" GOTO psw
IF "%link_name%" == "" GOTO passtrough
:psw
echo Bitte Passwort eingeben:
set /p password=
If "%password%" == "1111" GoTo passtrough
Exit
:passtrough
psexec \\IP:ADDRESSE -u RECHNERNAME\BENUTZER -p PASSWORT -i 1 C:\PFAD\ZUM\SCRIPT\AUF\DEM\HOST\AdultUnLocker.bat
Zu beginn wird abgefragt ob Verzeichnisse derzeit geschützt oder ungeschützt sind.
Steht ein x in der AdultLocker.txt wird ein Passwort verlangt. Das Passwort lautet 1111. (Mit dem Programm bat to exe, lässt sich die Batch verschlüsseln sodass das Passwort nicht mehr gesehen wird)
Steht kein x in der AdultLocker.txt wird ohne Eingabe des Passwortes das Programm auf dem Host ausgeführt.


Nun sollte bei Ausführung der  AdultUnLockerRemote.bat von jedem PC aus Easy File Locker auf dem Host ferngesteuert werden.

Probleme
Dies funktioniert nur auf Windows Rechnern. Um von Linux und Mac, Smartphones & Tablets ebenfalls mit einem simplen Klick die Freigabe zu steuern benötigt es weitere Schritte. Es wäre Grundsätzlich möglich, bedeuted jedoch sehr viel Aufwand.
Es ist tatsächlich das einfachste eine Verknüpfung zum Script auf dem Desktop vom Host in so einem Fall anzulegen und per VNC & Co diese kurzerhand auf besagten Betriebssystemen zu starten.

Wer sich Gedanken um die Klarsicht des Passwortes in den Scripts macht... Man kann die Scriptdateien mit weiteren Tools verschlüsseln.

Weiterhin sind alle Daten zugänglich sobald man eine LiveSystem bootet, die Festplatte an einem anderen Rechner anschließt etc.

Ein Nachteil ist, dass die Daten überall verfügbar sind wenn ein Gerät den Schutz aufhebt. Jedoch sehe ich in meinem Fall dahingehend keine Probleme.
Sollte dies Irgendwann auftreten so muss ich Easy File Locker zusätzlich auf jedem Gerät separat einrichten und in mein Script verankern.

Ziel bei dieser Konfiguration war nicht eine 100% Verschlüsselung von Daten, sondern eine wirksame Sperre einzurichten die 90% der Bevölkerung nicht umgehen können und das ganz ohne jegliche Benutzerpasswörter und Sicherheitsrichtlinien. Kaum jemand hat genügend Ahnung um diesen Schutz zu umgehen... Niemand baut meine Festplatte aus, niemand bootet ein LiveSystem auf meinem Server. Falls Irgendwann so etwas im Bereich des Möglichen liegen sollte gibt es auch dahingehend Schutz. Jedoch glaub ich kaum das ich entsprechend wichtig bin, dass sich jemand diese Mühe macht^^.

Demnach reicht dieser Schutz in meinem Fall vollkomen aus.
Meine Kiddies können Ordner und Dateien anklicken ohne Das ich mir Gedanken machen muss ob Sie nun Counter Strike starten Oder ob Sie nen Horrorfilm anschauen können...
Jeder kann an meinen PC und ich habe keine Sorge das persönliche Daten im Augenschein des Betrachters liegen.
Kommt ein neues Gerät in den Haushalt kann ich nicht vergessen irgendwas zu sperren.
Und das ganze funktioniert ohne jegliche weitere Schutzmaßnahmen. Ein einziger Klick auf das Script + Passworteingabe genügen sodass von jedem Gerät im Netzwerk die Freigabe geöffnet wird.

KODI

Zu guter letzt möchte ich noch auf mein Mediacenter eingehen, aus welchem Grund ich mir das alles überhaupt angetan habe.
KODI bietet absolut unzureichende Schutzmaßnahmen für Inhalte. Rudimentäre Aufgaben löst das Programm zwar, jedoch versagt es bei der AddOn Verwaltung, Sperrung von einzelnen Filmen etc.

Mit Easy File Locker lassen sich AddOns sperren in dem man einfach das AddOnverzeichnis sperrt. Per AdvancedLauncher kann man dann mein Script ausführen noch eine Sendkeys anweisung für das neuladen der AddOns mit einbauen und hat endlich eine funktionierende Kindersicherung für AddOns, einzelne Filme, Untervereichnisse... Sogar Hintergrundbilder können auf diesem Weggesperrt werden


Samstag, 10. Oktober 2015
Posted by D3BA

- Copyright © 2013 D3BA´s Blog -Metrominimalist- Powered by Blogger - Designed by Johanes Djogan -