Zwei Benutzer eines PCs komplett voneinander trennen

[Ovaron]

Hi!

Warum das Ganze ?
Ich würde gerne einen PC, der mit Windows XP läuft so konfigurieren, dass zwei Benutzer darauf zugreifen können (nicht gleichzeitig), jedoch diese zwei Benutzer keinerlei Zugriff auf die Daten des anderen Benutzers haben. Soll heissen: 1 Benutzer fürs Internet | 1 Benutzer für die Verwaltung sensibler Daten (z.B. Buchhaltung). Sollte sich der Benutzer der sich mit dem Internet verbinden kann nun einen Virus oder ähnliches einfangen, sollte dies keine Auswirkung auf die Umgebung des zweiten Benutzers haben können.

So weit, so schwierig.

Problembeschreibung:
Dieses Problem soll ich für einen Bekannten lösen. Derzeit laufen dort zwei PCs, die sich über eine Umschaltbox den Bildschirm, sowie eine USB-Maus und USB-Tastatur teilen. Der moderne der beiden PCs hat jedoch scheinbar Probleme mit dieser Konfiguration, denn ständig spinnen die USB-Eingabegeräte und werden oftmals gar nicht erkannt. Wenn ich mir das ganze dann anschaue finde ich im Gerätemanager zig Treiberleichen der Eingabegeräte.

Daher will ich das ganze jetzt jetzt ohne die Umschaltbox lösen und nur noch einen PC nutzen. Bis jetzt fiel mir dazu leider noch keine sinnvolle Lösung ein, daher wende ich mich an euch.

Mir ist schon einiges durch den Kopf gegangen.

Möglichkeit 1:
Wechselrahmen mit 2 HDDs die jeweils gewechselt werden müssen. Sinnvoll wäre diese Lösung natürlich nur, wenn beide HDDs permanent im PC verbaut wären und man irgendwie zwischen beiden herumschalten könnte. Ansonsten wäre meiner Meinung nach die Abnutzung zu hoch.

Möglichkeit 2:
Dual-Boot mit Linux und Windows.
Fällt aus, weil sich die Anwender nicht auf Linux umstellen lassen wollen.

Möglichkeit 3:
Dual-Boot mit 2* Windows XP.
Kann man da irgendwie sicherstellen, dass ein Windows nicht auf die Dateien des anderen Windows zugreifen kann?

Bin auf eure Vorschläge/Kommentare gespannt!

[Faust]

Das wird ohne die Lösung mit der Wechselfestplatte und dem dann realen mechanischen entfernen der HDD nicht funktionieren (kann man ja auch mit zwei eSATA-Festplatten machen, einfach nur die benötigte einschalten). Bei allen anderen Vorschlägen ist die Möglichkeit gegeben, dass sich Malware vom "Internet-PC" auf den "Büro-PC" ausbreitet.

Alternativ würde ich vorschlagen, dass man für das Internet ein Nettop wie den Acer Revo oder vergleichbares nimmt und dieses einfach mittels Umschaltbox paralell zum PC an Monitor/Tastatur und Co anschließt. Dann muss man nur einen Schalter betätigen und man hat den anderen Rechner.

Grüße

[E.T.]

Würde das nicht so eng sehen wie Faust, was die Gefahr eines Virenbefalls angeht.

Ich sehe zwei Möglichkeiten:

1.
ein Dualboot. Wobei mit zweimal gleichem Windows habe ich keine Erfahrung, sollte aber möglich sein.

Dass es für jedes Windows eine eigene Partition (besser viellleicht eine eigene HDD) braucht, dürfte selbstverständlich sein. Falls doch Dateiausteich zwischen den beiden Nutzer/Betriebsystemen möglich sein soll, einfach noch eine dritte Partition dazu einplanen. Aber Achtung: Dann bestünde wirklich ernsthaft die Gefahr, dass sich ein Virus auch rüberschmuggelt.

Ohne zusätzliche Partition für Dateiaustausch ist es glaub nur mit dem Administrator-Login möglich, auf die andere Partition zuzugreifen (normaler Nutzer mit Admin-Rechten reicht nicht).


2.
Ein SATA-Umschalter.

Eine HD ist dann einfach jeweils ganz deaktiviert, taucht nicht mal im BIOS auf. Es erscheint mir dadurch unmöglich, dass irgendwelche Malware von der einen HD zur anderen wandern sollte. Diese Lösung scheint mir also die sicherste und auf alle Fälle sinnvoller, als zwei PCs mit externen Umschalter.

[n1]

Nabend,

ich würde es mit zwei Partitionen machen, welche ich jeweils mit DriveCrypt verschlüssle. Beim Booten muss das Passwort zum entschlüsseln der ausgewählten Partition eingegeben werden. Da man ja nur eine Partition entschlüsselt und die andere nur ein Containerfile bleibt, dürfte auch das Virenproblem gelöst sein.

Gruß
Marc

[E.T.]

Jo, das wäre wohl die sicherste Software-Lösung und hätte den Vorteil, dass auch kein Fremder, der Zugang zum Computer hat, an die Daten kommt.


Wenn dies allerdings keine Rolle spielt, wenn nur eine Person den PC bedient, würde ich, nachdem ich mir das nochmals durch den Kopf gehen lassen habe, sagen, dass die Lösung mit dem SATA-Umschalter wohl das vom Handling her einfachste ist. Ist eine saubere Lösung, zwei völlig getrennte Systeme in einem PC, man kann nichts falsch machen und muss sich kein Passwort merken und nichts auswählen beim starten. Nur die Vorwahl per Schlüssel welches System man starten möchte.

Und: sollte doch mal eine System abschmieren bzw. beschädigt sein, läuft das andere immer noch. Bei einem Dual-boot-System auch kann das Boot-menu bzw. der MBR kaputt gehen, bei zwei getrennten Festplatten, die hardwaremässig umgeschaltet werden, hingegen nicht.

[n1]

Damit hast Du natürlich Recht! Mein Weg ist auch recht kompliziert bzw. zeitaufwendig beim Einrichten 

[Ovaron]

Danke für eure vielen konstruktiven Vorschläge

@Faust: ja, könnte sein, dass es ohne Wechselfestplatte bzw. SATA-Umschalter gar keine Möglichkeit gibt. Für das Internet einen extra Nettop anzuschaffen und dann zwischen den beiden PCs hin- und herzuschalten ändert an der aktuellen Situation jedoch kaum etwas. Da wird ja bereits ein Umschalter eingesetzt, der meiner Meinung nach für die Probleme mit den USB-Geräten verantwortlich ist.

@E.T.:
zu deinem Punkt 1 - ein Dual Boot mit 2 mal Win XP macht keine Probleme. Jedoch können sowohl Administratoren als auch normale User im Normalzustand auf beide Partitionen zugreifen (Hab das gerade in einer VM ausprobiert). Mit Hilfe einer restriktiven Rechtevergabe kann man das sicher ändern, aber ich denk NT-Rechte sind für Schadsoftware nicht unüberwindbar.

zu deinem Punkt 2 - So ein Ding wäre genial Ich wusste gar nicht, dass es so etwas gibt. Das wäre hardwaretechnisch wohl die optimale Lösung. Leider scheint es nicht sehr verbreitet zu sein, ich finde es lediglich in einem Ebay-Shop für über 80 €. Im Vergleich zu einem Wechselrahmen ist das doch etwas teuer, aber ich werd mir das mal genauer anschauen.

@n1:
Eine interessante Lösung, ich werd das gleich mal ausprobieren

[Ovaron]

Um das Thema der getrennten PC Benutzer zu beenden möchte ich ein kurzes Fazit ziehen:

zu Vorschlag 1 (SATA-Umschalter):
Leider war das Ding kaum erhältlich und wenn dann ziemlich überteuert, daher hab ich mich dagegen entschieden, wobei es wohl wirklich die einzige Möglichkeit gewesen wäre, 2 Benutzer eines PCs sauber zu trennen.

zu Vorschlag 2 (Trennung Festplattenverschlüsselung):
Ich hab das ganze mittels Truecrypt probiert, bin jedoch letztlich gescheitert. Entweder es wäre möglich und ich war einfach zu wenig in die Materie eingearbeitet, oder diese Konfiguration wird von Truecrypt nicht unterstützt.

Meine endgültige Lösung ist sicher nicht perfekt, aber dafür in der Usability sehr simpel, was bei gering geschulten Benutzern eines PCs leider notwenig ist.
Ich habe einfach 2 Benutzer mit sehr restriktiver Rechtevergabe eingerichtet und noch dazu für den Benutzer mit den "sensiblen" Daten die Verschlüsselungsfunktion von WinXP in dem Ordner "Eigene Dateien" aktiviert. Somit kann nur dieser Benutzer auf seine Daten zugreifen und niemand anderer.

Ein Problem bleibt aber:
Nach dem Neu-Aufsetzen des Systems waren die USB-Probleme leider nur kurzzeitig behoben. Mittlerweile spinnen Maus/Tastatur und zeitweise auch der Drucker wieder.
Daher hab ich eine Frage an euch: Meint ihr, dass kann wirklich an der Umschaltbox liegen? Kommt der neuere PC mit dem Umschalten eventuell nicht klar?

Die PC teilen sich über die Umschaltbox Maus, Tastatur und Bildschirm. Es macht jedoch nur der neuere PC Probleme, dort werden teilweise Maus und Tastatur nicht erkannt und laut den Benutzern spinnt auch der Drucker (per USB angebunden) zeitweise. Da der alte PC keine Probleme macht, vermute ich mittlerweile, dass das Mainboard des neueren PCs spinnt und überlege, dort Mainboard+CPU+RAM zu tauschen (der PC hat noch eine alte Single-Core CPU auf einem Socket 754).

[E.T.]

Zu dem USB-Problem:

Ich hatte neulich einen ähnlichen Fall: Ein PC wird von mehreren Leuten als Arbeitsplatz genutzt, die Leute transportieren ihre Daten per USB-Stick. Manchmal kommt es vor, dass die Sticks nicht mehr erkannt werden. Wenn ich dann die inaktiven Geräte im Gerätemanager anzeigen lasse, sehe ich zig mal dieselben Sticks aufgeführt. Wenn ich dann die (unsichtbaren) Geräte im GM entferne, gehts dann meistens wieder - oder auch nicht.

Woran das liegt, weiss ich leider auch nicht. Ich hatte auch schon fast das Mainboard in Verdacht, kann es mir aber auf der anderen Seite auch nicht wirklich vorstellen, dass ein Hardware-Defekt sich so äussern sollte.

Würde mal versuchen, den USB-Controller bzw. dessen treiber neu zu installieren. Falls das nichts hilft, würde ich es, bevor ich das ganze Mainboard wechsle, es mit einer USB-Karte versuchen. Ohne Garantie, dass das etwas bringt, aber die Garantie hast du bei einem Mainboardwechsel auch nicht, würde ich sagen.

[Ovaron]

Ok, danke für den Hinweis.
Die Idee mit dem USB-Controller hatte ich auch schon, ich denk da werd ich mich aber wohl eher für die Radikalmethode entscheiden. Ist preislich auch recht OK im Moment:
Intel Celeron Dual-Core E3300 für 42 €
A-DATA Value DIMM 1GB PC3-10667U CL9  x2 für 50 €
MSI G41M-E43, G41 für 47 €