12
Windows für Schuleinsatz absichern.
Hallo,
wir sind gerade dabei unser Schulnetzwerk aufzusetzen. Bis jetzt hatten wir auf den Windows XP CLients eine Wächterkarte laufen, um sie gegen Manipulationen abzusichern. Hiervon wollen wir uns loslösen, da sie die Administration erschweren und an der ein oder anderen Stellen die Performance negativ beeinflussen.
Die Schüler haben die rechte normaler User. Im Hintergrund läuft ein Linuxserver mit Samba als PDC. Die Profile werden jedes mal kopiert, deswegen schränken wir über die Gruppenrichtlinien schonmal die Ordner ein, die kopiert werden sollen (Eigene Dateien / Desktop / ...)
Welche Einstellungen sollt man noch vornehmen, um einen Client gegen jugendliche Experimentierfreund abzusichern. hat jemand Erfahrungen?
Besten Dank
wir sind gerade dabei unser Schulnetzwerk aufzusetzen. Bis jetzt hatten wir auf den Windows XP CLients eine Wächterkarte laufen, um sie gegen Manipulationen abzusichern. Hiervon wollen wir uns loslösen, da sie die Administration erschweren und an der ein oder anderen Stellen die Performance negativ beeinflussen.
Die Schüler haben die rechte normaler User. Im Hintergrund läuft ein Linuxserver mit Samba als PDC. Die Profile werden jedes mal kopiert, deswegen schränken wir über die Gruppenrichtlinien schonmal die Ordner ein, die kopiert werden sollen (Eigene Dateien / Desktop / ...)
Welche Einstellungen sollt man noch vornehmen, um einen Client gegen jugendliche Experimentierfreund abzusichern. hat jemand Erfahrungen?
Besten Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 143350
Url: https://administrator.de/contentid/143350
Printed on: April 24, 2024 at 20:04 o'clock
12 Comments
Latest comment
Bis jetzt hatten wir auf den Windows XP CLients eine Wächterkarte laufen, um sie gegen Manipulationen abzusichern.
Das ganze gibt es auch als Softwarelösung.
z.B.
DKS DRIVE
Faronics DeepFreeze
usw...
Lässt sich auch zentral verwalten.
Und mal ehrlich: Ich habe zwar schon die GPOs so strikt wie nur Möglich, aber eine Lücke findet sich immer und da ist es mir doch lieber wenn ich sicherstellen kann, dass jeder PC nach dem Neustart identisch ist.
Hallo!
In Ergänzung zu Dogs Beitrag:
Die entsprechende Software aus dem Hause Microsoft nennt sich Steady State und verursacht keine zusätzlichen Kosten...
Für die Profamnce ist dieses Tool natürlich nicht der volle Bringer, aber Alles kann man halt nicht haben
einen weiteren Beitrag hatten wir schon mal hier
lg
In Ergänzung zu Dogs Beitrag:
Die entsprechende Software aus dem Hause Microsoft nennt sich Steady State und verursacht keine zusätzlichen Kosten...
Für die Profamnce ist dieses Tool natürlich nicht der volle Bringer, aber Alles kann man halt nicht haben
einen weiteren Beitrag hatten wir schon mal hier
lg
Habe früher viel mit der Software HDguard von rdt global gearbeitet. Fand ich eigentlich die optimalste Lösung.
Moin,
Schule ohne Wächterkarte = Chaos und etliches an Mehrarbeit.
Dr.Kaiserkarten sind schon ein muss an Schulen,wenn nicht diese dann die DKS Software,beides lässt sich Zentral Verwalten,auch über den Server.
Hier gibt aber Dr.Kaiser keine Garantie,funktionieren tut es trotzdem.
Ein Perfomance-Verlust mit der Hardwarelösung hab ich bis jetzt noch nicht feststellen können, bei der Softwarelösung wohl schon.
Und zur Jugendlichen Experimentierfreudigkeit kann ich dir nur sagen,dass in den 4 Jahren in denen ich Schulen unter die Arme greife, gibt es keine Grenzen, sowohl Schüler und auch Lehrer werden ein ewiges Wettrennen mit dir betreiben.
Schule ohne Wächterkarte = Chaos und etliches an Mehrarbeit.
Dr.Kaiserkarten sind schon ein muss an Schulen,wenn nicht diese dann die DKS Software,beides lässt sich Zentral Verwalten,auch über den Server.
Hier gibt aber Dr.Kaiser keine Garantie,funktionieren tut es trotzdem.
Ein Perfomance-Verlust mit der Hardwarelösung hab ich bis jetzt noch nicht feststellen können, bei der Softwarelösung wohl schon.
Und zur Jugendlichen Experimentierfreudigkeit kann ich dir nur sagen,dass in den 4 Jahren in denen ich Schulen unter die Arme greife, gibt es keine Grenzen, sowohl Schüler und auch Lehrer werden ein ewiges Wettrennen mit dir betreiben.
[OT]
Hallo IT-Kean!
Ich war 10 Jahre lang Sysadmin an einer Univeristät und bin es jetzt seit 7 Jahren an verschiedenen Schulen. Obendrein bin ich noch Lehrer...
ICH persönlich kann Deinem Beitrag gesamtinhaltich nicht zustimmen!
(wobei ich zugeben muss, dass mich Dein letztgültiger Ton auch etwas stört, da ich nicht glaube, dass es nur EINE Wahrheit gibt und ein MUSS für Irgendetwas habe ich auch noch nicht erkennen können - mal von menschlichen Grundbedürfnissen abgesehen...)
Ich meine ja auch nicht, dass eine Alarmanlage für ein Auto ein MUSS sind. Der Grund, warum mein Auto noch nie gestohlen wurde liegt einerseits darin, dass es eine Mistkiste ist und andererseits (und das scheint mir das entscheidendere zu sein), dass sich unsere Gesellschaft darauf geeinigt hat, fremdes Hab und Gut nicht mit dem eigenen zu verwechseln. Einige wenige halten sich nicht daran und für die haben wir dann entsprechende Konsequenzen erdacht. Aber prinzipiell - ich hoffe, wir sind uns da einig - gilt, dass der Grund dafür, dass mein Auto noch vor meiner Tür steht, nicht die Alarmanalage ist, sondern eine unausgesprochene Verhaltensvereinbarung aller hier lebender Menschen.
Meiner bescheidenen Meinung zufolge liegt hier das Grundproblem im "Wettrennen" als solches, das zumeinst die Admins selbst starten...
Die Frage, die sich mir stellt, ist: Warum versuchen Schüler, ein System zu kompromitieren?
Die Antwort ist - denke ich - nicht einfach zu beantworten...
Eine Frage, die man sich in diesem Zusammenhang allerdings stellen könnte, ist jene, worin die Motivation des einzelnen liegt, sich die Arbeit anzutun und ein System zu manipulieren. Oftmals sind die Manipulationen ja nicht mal für den Manipulierer von Vorteil, dh, im schlimmsten Fall kann der PC nicht mehr verwendet werden. Eine mögliche Antwort könnte sein, dass die Ursache darin liegt, dass der Manipulant (colles Wort, oder?) sich als Sieger über den Admin fühlt - weil: siegen wollen wir ja alle.
Und hier setze ich jetzt an: Wenn es gar keinen Wettkampf gibt, dann gibt es auch kein Siegen - und damit auch keine Manipulation, weil kein Vorteil aus der investierten Energie zu erwarten ist.
Eine Dr. Kaiserkarte scheint mir in diesem Zusammenhang eine offene Kampferklärung zu sein (und sie wird von vielen auch so empfunden werden), die geradezu nach einem "Gegenschlag" schreit...
Klingt jetzt vielleicht für Manche komisch, was ich mir hier zusammenreime, meine lange Erfahrung hat mir persönlich gezeigt, dass ich für mich am richtigen Weg bin. Das soll allerdings nicht heissen, dass das für Andere auch ein gehbarer ist...
Zum Abschluss:
Das soll jetzt nicht heissen, dass ich auf Management by Vertrauen setze. Steady State, Gruppenrichtlinien, Firewalls, Zugangssperren zum Internet über Proxy, Domain Isolation, etc etc etc verwende ich auch alles...
NUR: Ich lass das Gefühl des Wettkampfs nicht aufkommen. Ich tue meine Arbeit, die Schüler machen ihre und der Grundkonsens lautet: "Wir lassen uns gegenseitig leben".
Dass Schüler CS installieren ist ein leicht nachzuvollziehender Vorgang (wäre ich 15 würde ich es auch machen), dass die Lehrer das nicht so toll finden, ist auch normal (und das wissen die Schüler auch, die sind ja nicht blöd...).
Langer Rede, kurzer Sinn:
Wo Menschen sind, menschelt es. Und das finde ich gut so!
Umgekehrt: wenn eine RFC oder eine Hardware menschliche Bedürnisse vorgeben, dann sollte nicht das Bedürfnis verändert werden, sondern an der RFC bzw. Hardware...
lg
Edi
[/OT]
Hallo IT-Kean!
Ich war 10 Jahre lang Sysadmin an einer Univeristät und bin es jetzt seit 7 Jahren an verschiedenen Schulen. Obendrein bin ich noch Lehrer...
ICH persönlich kann Deinem Beitrag gesamtinhaltich nicht zustimmen!
(wobei ich zugeben muss, dass mich Dein letztgültiger Ton auch etwas stört, da ich nicht glaube, dass es nur EINE Wahrheit gibt und ein MUSS für Irgendetwas habe ich auch noch nicht erkennen können - mal von menschlichen Grundbedürfnissen abgesehen...)
Ich meine ja auch nicht, dass eine Alarmanlage für ein Auto ein MUSS sind. Der Grund, warum mein Auto noch nie gestohlen wurde liegt einerseits darin, dass es eine Mistkiste ist und andererseits (und das scheint mir das entscheidendere zu sein), dass sich unsere Gesellschaft darauf geeinigt hat, fremdes Hab und Gut nicht mit dem eigenen zu verwechseln. Einige wenige halten sich nicht daran und für die haben wir dann entsprechende Konsequenzen erdacht. Aber prinzipiell - ich hoffe, wir sind uns da einig - gilt, dass der Grund dafür, dass mein Auto noch vor meiner Tür steht, nicht die Alarmanalage ist, sondern eine unausgesprochene Verhaltensvereinbarung aller hier lebender Menschen.
Und zur Jugendlichen Experimentierfreudigkeit kann ich dir nur sagen,dass in den 4 Jahren in denen ich Schulen unter die Arme greife, gibt es keine Grenzen,
sowohl Schüler und auch Lehrer werden ein ewiges Wettrennen mit dir betreiben.
sowohl Schüler und auch Lehrer werden ein ewiges Wettrennen mit dir betreiben.
Meiner bescheidenen Meinung zufolge liegt hier das Grundproblem im "Wettrennen" als solches, das zumeinst die Admins selbst starten...
Die Frage, die sich mir stellt, ist: Warum versuchen Schüler, ein System zu kompromitieren?
Die Antwort ist - denke ich - nicht einfach zu beantworten...
Eine Frage, die man sich in diesem Zusammenhang allerdings stellen könnte, ist jene, worin die Motivation des einzelnen liegt, sich die Arbeit anzutun und ein System zu manipulieren. Oftmals sind die Manipulationen ja nicht mal für den Manipulierer von Vorteil, dh, im schlimmsten Fall kann der PC nicht mehr verwendet werden. Eine mögliche Antwort könnte sein, dass die Ursache darin liegt, dass der Manipulant (colles Wort, oder?) sich als Sieger über den Admin fühlt - weil: siegen wollen wir ja alle.
Und hier setze ich jetzt an: Wenn es gar keinen Wettkampf gibt, dann gibt es auch kein Siegen - und damit auch keine Manipulation, weil kein Vorteil aus der investierten Energie zu erwarten ist.
Eine Dr. Kaiserkarte scheint mir in diesem Zusammenhang eine offene Kampferklärung zu sein (und sie wird von vielen auch so empfunden werden), die geradezu nach einem "Gegenschlag" schreit...
Klingt jetzt vielleicht für Manche komisch, was ich mir hier zusammenreime, meine lange Erfahrung hat mir persönlich gezeigt, dass ich für mich am richtigen Weg bin. Das soll allerdings nicht heissen, dass das für Andere auch ein gehbarer ist...
Zum Abschluss:
Das soll jetzt nicht heissen, dass ich auf Management by Vertrauen setze. Steady State, Gruppenrichtlinien, Firewalls, Zugangssperren zum Internet über Proxy, Domain Isolation, etc etc etc verwende ich auch alles...
NUR: Ich lass das Gefühl des Wettkampfs nicht aufkommen. Ich tue meine Arbeit, die Schüler machen ihre und der Grundkonsens lautet: "Wir lassen uns gegenseitig leben".
Dass Schüler CS installieren ist ein leicht nachzuvollziehender Vorgang (wäre ich 15 würde ich es auch machen), dass die Lehrer das nicht so toll finden, ist auch normal (und das wissen die Schüler auch, die sind ja nicht blöd...).
Langer Rede, kurzer Sinn:
Wo Menschen sind, menschelt es. Und das finde ich gut so!
Umgekehrt: wenn eine RFC oder eine Hardware menschliche Bedürnisse vorgeben, dann sollte nicht das Bedürfnis verändert werden, sondern an der RFC bzw. Hardware...
lg
Edi
[/OT]
Moin Edi,
ich weiss ehrlich gesagt nicht wo du gearbeitet hast. ABER das Leute (und nicht nur Schüler) versuchen die Richtlinien des Admins zu umgehen weil "dieser blöde Depp" mal wieder ne Funktion gesperrt hat o.ä. ist normal. Dies hast du an Schulen, in Firmen usw. Warum glaubst du gibt es Admins? Wenn die Leute nicht am System rumdrehen würden dann wäre ein Admin überflüssig - einmal das System installieren und das ganze läuft bis zum St. Nimmerleinstag. Und um nen Drucker aufzustellen braucht man sicher keine 3jährige Ausbildung oder ein Studium...
Du vergleichst das mit deinem Auto - allerdings ist der Vergleich unsinn. Warum dein Auto vor der Tür steht? Weil du das Glück hast das derjenige der ein Auto klaut nicht an deinem Auto vorbeigegangen ist. ABER: Du bestreitest nicht das in deiner Stadt schonmal ein Fahrzeug geklaut / beschädigt wurde, oder? Der Unterschied hier: Der Schüler der CS auf dem PC installiert ist kein Problem. Nur das die Software ggf. nen Trojaner, Virus o.ä. mit einschleppt - und diese dann ALLE PCs befallen. Um bei deinem Auto zu bleiben müsstest du also davon ausgehen das wenn ein Dieb EIN Auto klaut das dann auch alle anderen Autos der Stadt potenziell geklaut werden. Würdest du dir dann ne Alarmanlage einbauen wenn dein Auto dann stehenbleibt?
Das nächste Problem ist sogar noch auf einer ganz anderen Ebene: Ein Schüler installiert CS. Gar kein Problem - und plötzlich läuft irgendwo wieder irgendein Volldepp Amok. Der Schüler erzählt zuhause ganz stolz seinen Eltern "Och, so schlimm ist CS nicht - das haben wir in der Schule auch auf dem Rechner". Herzlichen Glückwunsch - rate mal was du jetzt für nen Theater an der Schule hast (oder wenn das 12jährige Kiddy zuhause sagt das es in der Schule auf dem Rechner CS spielen darf - und warum es zuhause keine Ballerspiele spielen darf...).
Und was deine Offene Kriegserklärung angeht: Wenn einer meiner Kollegen das so auffasst - bitte. Ehrlich gesagt stört mich das herzlich wenig - und auch als Admin einer Schule würde mir das gepflegt am Ar... vorbeigehen. Ich bin NICHT dafür eingestellt worden das mich jeder mag und ich der beste Kumpel für alle bin. Ich bin dafür eingestellt worden das die Systeme laufen - und dafür werde ich bezahlt! Sollte hier einer der Kollegen (oder eben bei Schulen ein Schüler) meinen er möchte den Krieg beginnen - kein Thema. Bis zu einer gewissen Grenze sehe ich das sportlich - allerdings ist die nicht sehr weit! Wenn es darüber geht habe ich überhaupt kein Problem damit auch andere Maßnahmen zu treffen - sei es das es über die GL mit dem Kollegen geklärt wird oder (bei einer Schule) das ich dem die Kennung erstmal sperre. Und glaub mir - diesen Krieg führt man üblicherweise einmal -> und dann nie wieder. Denn auch die Admins bei Firmen haben am Anfang immer einmal die üblichen Diskussionen - warum man das jetzt nicht mehr darf, ob man das nicht freischalten kann und mindestens einen Kollegen der sich eh von Zuhause mit Computern auskennt und daher gleich sagen will wie man seinen Job zu tun hat. Und jedem dieser Personen muss man eben mal erklären wo die Grenze ist... Nur das du als "normaler Firmenadmin" den Unterschied hast das du mit 20-30 Jahren jemanden der deutlich älter ist sagen musst was er/sie zu tun hat. Bei Schülern hast du wenigstens das die nicht jedesmal erklären das die schon so lang im Job sind und das die eh besser wissen wie das geht...
ich weiss ehrlich gesagt nicht wo du gearbeitet hast. ABER das Leute (und nicht nur Schüler) versuchen die Richtlinien des Admins zu umgehen weil "dieser blöde Depp" mal wieder ne Funktion gesperrt hat o.ä. ist normal. Dies hast du an Schulen, in Firmen usw. Warum glaubst du gibt es Admins? Wenn die Leute nicht am System rumdrehen würden dann wäre ein Admin überflüssig - einmal das System installieren und das ganze läuft bis zum St. Nimmerleinstag. Und um nen Drucker aufzustellen braucht man sicher keine 3jährige Ausbildung oder ein Studium...
Du vergleichst das mit deinem Auto - allerdings ist der Vergleich unsinn. Warum dein Auto vor der Tür steht? Weil du das Glück hast das derjenige der ein Auto klaut nicht an deinem Auto vorbeigegangen ist. ABER: Du bestreitest nicht das in deiner Stadt schonmal ein Fahrzeug geklaut / beschädigt wurde, oder? Der Unterschied hier: Der Schüler der CS auf dem PC installiert ist kein Problem. Nur das die Software ggf. nen Trojaner, Virus o.ä. mit einschleppt - und diese dann ALLE PCs befallen. Um bei deinem Auto zu bleiben müsstest du also davon ausgehen das wenn ein Dieb EIN Auto klaut das dann auch alle anderen Autos der Stadt potenziell geklaut werden. Würdest du dir dann ne Alarmanlage einbauen wenn dein Auto dann stehenbleibt?
Das nächste Problem ist sogar noch auf einer ganz anderen Ebene: Ein Schüler installiert CS. Gar kein Problem - und plötzlich läuft irgendwo wieder irgendein Volldepp Amok. Der Schüler erzählt zuhause ganz stolz seinen Eltern "Och, so schlimm ist CS nicht - das haben wir in der Schule auch auf dem Rechner". Herzlichen Glückwunsch - rate mal was du jetzt für nen Theater an der Schule hast (oder wenn das 12jährige Kiddy zuhause sagt das es in der Schule auf dem Rechner CS spielen darf - und warum es zuhause keine Ballerspiele spielen darf...).
Und was deine Offene Kriegserklärung angeht: Wenn einer meiner Kollegen das so auffasst - bitte. Ehrlich gesagt stört mich das herzlich wenig - und auch als Admin einer Schule würde mir das gepflegt am Ar... vorbeigehen. Ich bin NICHT dafür eingestellt worden das mich jeder mag und ich der beste Kumpel für alle bin. Ich bin dafür eingestellt worden das die Systeme laufen - und dafür werde ich bezahlt! Sollte hier einer der Kollegen (oder eben bei Schulen ein Schüler) meinen er möchte den Krieg beginnen - kein Thema. Bis zu einer gewissen Grenze sehe ich das sportlich - allerdings ist die nicht sehr weit! Wenn es darüber geht habe ich überhaupt kein Problem damit auch andere Maßnahmen zu treffen - sei es das es über die GL mit dem Kollegen geklärt wird oder (bei einer Schule) das ich dem die Kennung erstmal sperre. Und glaub mir - diesen Krieg führt man üblicherweise einmal -> und dann nie wieder. Denn auch die Admins bei Firmen haben am Anfang immer einmal die üblichen Diskussionen - warum man das jetzt nicht mehr darf, ob man das nicht freischalten kann und mindestens einen Kollegen der sich eh von Zuhause mit Computern auskennt und daher gleich sagen will wie man seinen Job zu tun hat. Und jedem dieser Personen muss man eben mal erklären wo die Grenze ist... Nur das du als "normaler Firmenadmin" den Unterschied hast das du mit 20-30 Jahren jemanden der deutlich älter ist sagen musst was er/sie zu tun hat. Bei Schülern hast du wenigstens das die nicht jedesmal erklären das die schon so lang im Job sind und das die eh besser wissen wie das geht...
Moin.
Auch auf die Gefahr hin, dass hier wieder endlose Offtopic-Diskussionen angezettelt werden und unsubscribe ja leider nicht existiert, schreib ich was dazu.
Lebowski, Du schreibst
Auch auf die Gefahr hin, dass hier wieder endlose Offtopic-Diskussionen angezettelt werden und unsubscribe ja leider nicht existiert, schreib ich was dazu.
Lebowski, Du schreibst
gegen jugendliche Experimentierfreund abzusichern
und nun sollen wir uns also ausmalen, was Du wogegen sichern willst und welche Randumstände bestehen. Das kann so nicht laufen, selbst wenn andere Schuladmins das lesen, heißt das nicht, dass die Lage vergleichbar ist und man Dich beraten kann. Investier doch zumindest ein paar Sätze mehr zu den Gegebenheiten: Was willst Du wogegen konkret schützen, was habt ihr Euch mit Samba konstruieren können (voller Verwaltungsumfang mit Samba möglich)?, gibt es ein Backupkonzept, was regelmäßiges Imaging (und somit die Möglichkeit des bequemen Rücksprungs zu einem vermutlich heilen Zustand) umfasst, und zu guter Letzt: was heißt "Netzwerk aufsetzen"? Was fehlt noch, woran könntest Du nach den Ratschlägen überhaupt noch drehen?
Also,
da wie ich im ersten Beitrag geschrieben habe, bis jetzt nur Wächterkarten eingesetzt werden, ist das was ich erreichen will, mir teilweise auch nicht ganz klar, wegen fehlender Erfahrung. Deswegen war meine Frage aus dem ersten Beitrag auch:
Was sollte man für Einstellungen vornehmen, um WindowsXp abzusichern?
Ich wäre also eher an Erfahrungen von Administratoren interessiert, die XP ohne Wächterkarte betreiben, was man noch vornehmen sollte bzw. wo Probleme bestehen. Ich weiß sozusagen nicht, was ich konkret schützen möchte, sondern mich Interessieren mögliche und bekannte Schwachstellen (ok die Standardsachen wie Viusschutz etc sind schon klar, aber der Einsatz in Schulen verlangt schon etwas mehr).
Da wir gerade das Netzwerk neu aufsetzen, ist noch alles drin, wir müssen nicht an einem bestehenden System herumarbeiten.
Noch ein paar Infos:
1.) Samba läuft als PDC, und ich ich trau mir zu, die ein oder andere Erweiterung vorzunehmen, so dass der volle Verwaltungsumfang möglich ist.
2.) Wir bauen keine Image, da die Hardwarearchitekturen zu unterschiedlich sind und sysprep an seine Grenzen stößt. Wir nutzen "unattended" ( http://unattended.sourceforge.net/ ) um sämtliche Rechner aufzusetzen und die Software zu installieren (dauert zwar ca. 60 min pro Rechner, das aber problemlos). Außerdem noch WPKG für die Softwareverteilung, falls danach noch etwas nötig ist.
Von den Wächterkarten bin ich wirklich nicht angetan,
Ich würde es also lieber mit Windowshausmitteln erreichen, die einer oder bekannte Lücke, die Schuladmins bestimmt schon kennen zu schließen und im Fall der Fälle dann eine NeuInstallation ansetzten, die macht 10 Sekunden Arbeit.
da wie ich im ersten Beitrag geschrieben habe, bis jetzt nur Wächterkarten eingesetzt werden, ist das was ich erreichen will, mir teilweise auch nicht ganz klar, wegen fehlender Erfahrung. Deswegen war meine Frage aus dem ersten Beitrag auch:
Was sollte man für Einstellungen vornehmen, um WindowsXp abzusichern?
Ich wäre also eher an Erfahrungen von Administratoren interessiert, die XP ohne Wächterkarte betreiben, was man noch vornehmen sollte bzw. wo Probleme bestehen. Ich weiß sozusagen nicht, was ich konkret schützen möchte, sondern mich Interessieren mögliche und bekannte Schwachstellen (ok die Standardsachen wie Viusschutz etc sind schon klar, aber der Einsatz in Schulen verlangt schon etwas mehr).
Da wir gerade das Netzwerk neu aufsetzen, ist noch alles drin, wir müssen nicht an einem bestehenden System herumarbeiten.
Noch ein paar Infos:
1.) Samba läuft als PDC, und ich ich trau mir zu, die ein oder andere Erweiterung vorzunehmen, so dass der volle Verwaltungsumfang möglich ist.
2.) Wir bauen keine Image, da die Hardwarearchitekturen zu unterschiedlich sind und sysprep an seine Grenzen stößt. Wir nutzen "unattended" ( http://unattended.sourceforge.net/ ) um sämtliche Rechner aufzusetzen und die Software zu installieren (dauert zwar ca. 60 min pro Rechner, das aber problemlos). Außerdem noch WPKG für die Softwareverteilung, falls danach noch etwas nötig ist.
Von den Wächterkarten bin ich wirklich nicht angetan,
- z. B. bleiben alle, bis auf die Authetifizierungslogs auf den Clients. Die Wächterkarte würde das verhindern.
- Wenn sich irgend eine Software automatisch updateted und man dies erst am nächsten Tag schafft, wird bei jedem Systemstart, das Update gezogen. Und in der Schule starten zig Rechner zigmal am Tag.
- Schon mal einen Virus mittels Wächterkarte konserviert ... ?
- Digitale Bildbearbeitung am gleichen Rechner mit und ohne Wächterkarte zeigen ziemlich deutlich die Performanceunterschiede
- .....
Ich würde es also lieber mit Windowshausmitteln erreichen, die einer oder bekannte Lücke, die Schuladmins bestimmt schon kennen zu schließen und im Fall der Fälle dann eine NeuInstallation ansetzten, die macht 10 Sekunden Arbeit.
z. B. bleiben alle, bis auf die Authetifizierungslogs auf den Clients. Die Wächterkarte würde das verhindern.
Den Satz verstehe ich zwar nicht, aber dafür gibt es Junction Points und ungesperrte Partitionen.
Wenn sich irgend eine Software automatisch updateted und man dies erst am nächsten Tag schafft,
Warum updatet sich bei euch Software automatisch?
Das ist für mich ein No-Go. Ich sage wann Updates passieren und sonst niemand.
Schon mal einen Virus mittels Wächterkarte konserviert ... ?
Nö, aber das Geld für Client-AV-Programme gespart.
So muss ich mich nur um den Server kümmern.
Digitale Bildbearbeitung am gleichen Rechner mit und ohne Wächterkarte zeigen ziemlich deutlich die Performanceunterschiede
Das werde ich die Tage mal ausprobieren...
Auch die DKS AdminKonsoke funktioniert nicht wirklich zuverlässig,
Kann ich auf keinen Fall bestätigen.
Es gab eine Version in der 4er Serie die war ne Katastrophe, aber mit den 5ern hatte ich bisher nie Probleme.
Hallo. Das ist leider kaum mehr als zuvor. Schreib etwas, was leere Phrasen wie "...aber der Einsatz in Schulen verlangt schon etwas mehr" auffüllt. Was wollt Ihr erreichen?
Überleg Dir, was Du mit der Maßnahme bezweckst.
das was ich erreichen will, [ist] mir teilweise auch nicht ganz klar
dann klär das. Eine Zielstellung zu formulieren, sollte auch ohne jahrelange Erfahrung möglich sein. mich Interessieren mögliche und bekannte Schwachstellen
Mich auch. Und nu? Ihr habt xp - soll das als Anhaltspunkt ausreichen?Überleg Dir, was Du mit der Maßnahme bezweckst.
> mich Interessieren mögliche und bekannte Schwachstellen
Mich auch. Und nu? Ihr habt xp - soll das als Anhaltspunkt ausreichen?
Mich auch. Und nu? Ihr habt xp - soll das als Anhaltspunkt ausreichen?
Dann warten wir gemeinsam, es kommt bestimmt noch was.
Hallo,
uunschlagbarer Vorteil der PC-Wächter-Karten: Ich kann nicht einfach stumpf F8 hämmern und abgesichert in das System kommen. Bei Steady State wäre das, andere Einstellungen mal außer acht gelassen, möglich.
Weitere Punkte:
- PC-Wächter verhindert das Booten des Rechners über USB-Stick / Boot-CD / -DVD
- Steady State läuft nicht mehr unter Vista / Windows 7 und MS sieht momentan auch keinen Grund, die Software hierfür anzupassen.
Was den Wettkampf User-Admin angeht: Je mehr die User sich gegängelt fühlen, umso eher versuchen Sie, das System zu überlisten. Heisst nicht, dass man als Admin nichts machen soll, ganz im Gegenteil. Ich würde als Admin den User aber nicht allzu deutlich merken lassen, dass ich alle möglichen Sachen sperren kann und am längeren Hebel sitze. Manche Admins ziehen hieraus scheinbar Ihre Existenzberechtigung.
uunschlagbarer Vorteil der PC-Wächter-Karten: Ich kann nicht einfach stumpf F8 hämmern und abgesichert in das System kommen. Bei Steady State wäre das, andere Einstellungen mal außer acht gelassen, möglich.
Weitere Punkte:
- PC-Wächter verhindert das Booten des Rechners über USB-Stick / Boot-CD / -DVD
- Steady State läuft nicht mehr unter Vista / Windows 7 und MS sieht momentan auch keinen Grund, die Software hierfür anzupassen.
Was den Wettkampf User-Admin angeht: Je mehr die User sich gegängelt fühlen, umso eher versuchen Sie, das System zu überlisten. Heisst nicht, dass man als Admin nichts machen soll, ganz im Gegenteil. Ich würde als Admin den User aber nicht allzu deutlich merken lassen, dass ich alle möglichen Sachen sperren kann und am längeren Hebel sitze. Manche Admins ziehen hieraus scheinbar Ihre Existenzberechtigung.
