8
Sichere Installation von Notebooks
Notebooks von Mitarbeitern zur mobilen Nutzung und zur Nutzung im Firmennetz. (Hochschulbetrieb) Sichere Installation - Was ist alles zu beachten?
Hallo zusammen!
Immer mehr unserer Dozenten verlangen statt der normalen Workstation (feste PC Installation im Schulnetz) mit Zugang zum Dateiserver und Druckserver einen Laptop. Klar kann man sich dem nicht verschließen und wir haben eine AG gebildet, was wir alles beachten müssen bei der Installation. Was man vor allem mehr zu Leisten hat an Support e.t.c. Ich hätte gerne von Euch Anmerkungen und Anregungen was Ihr meint, was beachtet werden muss.
Server. Windows 2003 und 2008
OS für die Laptops: Windows 7
Erste Gedanken (bisher....)
-Arbeiten nur unter eingeschränktem Benutzer (eh klar)
-Bereitstellen eines verschlüsselten Containers (TrueCrypt)
-Datensicherungsprogramm welches automatisch inkr. sichern soll sobald das Gerät Verbindung mit dem "Heimatnetz" aufnimmt
(Das Programm muss den o.g. Container öffnen können!)
-KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
-Automatische Updates (Windows und Office - Antivirus sowieso)
-Halbjährliche Wartungsintervalle einführen und als verbindlich erklären
-Registrierung der mobilen Rechner im Netz via Mac-Adresse (ggfs. Sperrung wenn ds. nicht zur Wartung abgegeben werden)
Wir treffen uns die Tage und wollen Richtlinien und Vorschläge erstellen wie so ein Ding dann genau zu installieren ist.
Weiter müssen wir (Admins) auch der GL aufzeigen das das ganze wesentlich mehr an Aufwand für uns bedeutet.
Also, ich möchte keine konkreten Lösungsvorschläge, sondern einfach erst mal nur Ideen sammeln, gute Tipps bekommen u.s.w.
Herzlichen Dank erstmal dafür!
Gruß
Immer mehr unserer Dozenten verlangen statt der normalen Workstation (feste PC Installation im Schulnetz) mit Zugang zum Dateiserver und Druckserver einen Laptop. Klar kann man sich dem nicht verschließen und wir haben eine AG gebildet, was wir alles beachten müssen bei der Installation. Was man vor allem mehr zu Leisten hat an Support e.t.c. Ich hätte gerne von Euch Anmerkungen und Anregungen was Ihr meint, was beachtet werden muss.
Server. Windows 2003 und 2008
OS für die Laptops: Windows 7
Erste Gedanken (bisher....)
-Arbeiten nur unter eingeschränktem Benutzer (eh klar)
-Bereitstellen eines verschlüsselten Containers (TrueCrypt)
-Datensicherungsprogramm welches automatisch inkr. sichern soll sobald das Gerät Verbindung mit dem "Heimatnetz" aufnimmt
(Das Programm muss den o.g. Container öffnen können!)
-KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
-Automatische Updates (Windows und Office - Antivirus sowieso)
-Halbjährliche Wartungsintervalle einführen und als verbindlich erklären
-Registrierung der mobilen Rechner im Netz via Mac-Adresse (ggfs. Sperrung wenn ds. nicht zur Wartung abgegeben werden)
Wir treffen uns die Tage und wollen Richtlinien und Vorschläge erstellen wie so ein Ding dann genau zu installieren ist.
Weiter müssen wir (Admins) auch der GL aufzeigen das das ganze wesentlich mehr an Aufwand für uns bedeutet.
Also, ich möchte keine konkreten Lösungsvorschläge, sondern einfach erst mal nur Ideen sammeln, gute Tipps bekommen u.s.w.
Herzlichen Dank erstmal dafür!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165173
Url: https://administrator.de/contentid/165173
Printed on: April 19, 2024 at 09:04 o'clock
8 Comments
Latest comment
Hallo,
-Arbeiten nur unter eingeschränktem Benutzer (eh klar)
-Bereitstellen eines verschlüsselten Containers (TrueCrypt)
-Datensicherungsprogramm welches automatisch inkr. sichern soll sobald das Gerät Verbindung mit dem "Heimatnetz" aufnimmt
-KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
-Automatische Updates (Windows und Office - Antivirus sowieso)
-Halbjährliche Wartungsintervalle einführen und als verbindlich erklären
-Registrierung der mobilen Rechner im Netz via Mac-Adresse (ggfs. Sperrung wenn ds. nicht zur Wartung abgegeben werden)
Laptops sind eine anspruchsvolle Aufgabe zum Administrieren. Sicher eine gute Sache sich vorher bezüglich eines Konzeptes zu machen.
Peter
-Arbeiten nur unter eingeschränktem Benutzer (eh klar)
wie ist das dann mit Druckern?
Darf das Laptop auch mit nach Hause? Dann wird das lustig....
Darf das Laptop auch mit nach Hause? Dann wird das lustig....
-Bereitstellen eines verschlüsselten Containers (TrueCrypt)
Sicher was Gutes bei Geräteverlust
-Datensicherungsprogramm welches automatisch inkr. sichern soll sobald das Gerät Verbindung mit dem "Heimatnetz" aufnimmt
und das bei der kleinen Bandbreite?
-KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
Was hat VPN mit Bandbreite zu tun?
-Automatische Updates (Windows und Office - Antivirus sowieso)
Wie kommen die Updates auf die Kiste? Beim Virenschutz sind das meist kleine Einheiten, ein Update kann da deutlich zuschlagen.
-Halbjährliche Wartungsintervalle einführen und als verbindlich erklären
Und was soll hier passieren, wenn Update und Virenschutz per Lan druchgeführt werden?
-Registrierung der mobilen Rechner im Netz via Mac-Adresse (ggfs. Sperrung wenn ds. nicht zur Wartung abgegeben werden)
Sperrung wenn ds. nicht zur Wartung abgegeben werden >> Wenn Ihr den ersten "falschen" trefft, wird die Sache aufgeweicht
Laptops sind eine anspruchsvolle Aufgabe zum Administrieren. Sicher eine gute Sache sich vorher bezüglich eines Konzeptes zu machen.
Peter
[OT]
@muftypeter
Hi,
übe doch bitte mal das Zitieren. Dein Kommentar liest sich etwas merkwürdig bzw. ungewöhnlich.
Gruß
[/OT]
@muftypeter
Hi,
übe doch bitte mal das Zitieren. Dein Kommentar liest sich etwas merkwürdig bzw. ungewöhnlich.
Gruß
[/OT]
Hallo,
zum Thema verschlüsselter Container (TrueCrypt). Ich würde vorschlagen, dass du die ganze Festplatte mit Truecrypt verschlüsselst.
Dann gibt es keine Probleme mit der Datensicherung und es sind alle Daten geschützt wenn der Laptop gestohlen wird oder verloren geht.
Tom
zum Thema verschlüsselter Container (TrueCrypt). Ich würde vorschlagen, dass du die ganze Festplatte mit Truecrypt verschlüsselst.
Dann gibt es keine Probleme mit der Datensicherung und es sind alle Daten geschützt wenn der Laptop gestohlen wird oder verloren geht.
Tom
-Datensicherungsprogramm welches automatisch inkr. sichern soll sobald das Gerät Verbindung mit dem "Heimatnetz" aufnimmt
Dazu würde ich sagen, dass du es mal mit rsync versucht.
Dies müsste man aber manuell starten(Naja zumindest wüsste ich wie es bei win XP gehen würde aber bei win 7 leider nicht.).
Aber es würde die Daten nur Synchronisieren und nicht kommplett Uploaden wodurch sich das Bandbreitenproblem etwas bessert.
Wobei mich jetzt interessiert wie viel Bandbreite steht den zu Verfügung? (Intern)
Dazu würde ich sagen, dass du es mal mit rsync versucht.
Dies müsste man aber manuell starten(Naja zumindest wüsste ich wie es bei win XP gehen würde aber bei win 7 leider nicht.).
Aber es würde die Daten nur Synchronisieren und nicht kommplett Uploaden wodurch sich das Bandbreitenproblem etwas bessert.
Wobei mich jetzt interessiert wie viel Bandbreite steht den zu Verfügung? (Intern)
moin,
[OT]
-KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
und das bei der kleinen Bandbreite?
Ist ja auch kein Hexenwerk.
Für mich sieht der Ansatz besser durchdacht, als viele andere -die man hier in den letzten Tagen lesen mußte -aus.
Gruß
[OT]
-KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
und das bei der kleinen Bandbreite?
- Eben genau deshalb doch.... - wer lesen kann usw. ich kenne kein lokales asynchrones Netzwerk...
- rsync via:
if not exist server\freigabe goto endFür mich sieht der Ansatz besser durchdacht, als viele andere -die man hier in den letzten Tagen lesen mußte -aus.
Gruß
Zitat von @60730:
moin,
[OT]
>
> -KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
> und das bei der kleinen Bandbreite?
Ist ja auch kein Hexenwerk.
Für mich sieht der Ansatz besser durchdacht, als viele andere -die man hier in den letzten Tagen lesen mußte -aus.
Gruß
moin,
[OT]
>
> -KEINE VPN Verbindung zu den Servern, da die Bandbreite (Upload) am Standort zu niedrig ist
> und das bei der kleinen Bandbreite?
- Eben genau deshalb doch.... - wer lesen kann usw. ich kenne kein lokales asynchrones Netzwerk...
- rsync via:
if not exist server\freigabe goto endFür mich sieht der Ansatz besser durchdacht, als viele andere -die man hier in den letzten Tagen lesen mußte -aus.
Gruß
Naja manchmal muss man beachten, dass auch Interne Netzwerke ausgelastet sein können.
Ich Persönlich kenne Netzwerke wo die Server Glasfasernetzwerkkarten (10 GBit/s) und nur SSD Installiert haben um diese Unmengen an Backupdaten zu speichern wobei der DL des Servers zu 80 % ausgelastet ist und der UL des Servers naja <1%.
Anders denke ich, dass bei mipfel die Server Extern stehen und nicht im selben Subnetz wodurch sich der geringe Upload durch die Internet Leitung bestätigen würde.
Aber erstrecht wenn diese Extern stehen würde ich auch auf eine VPN verbindung zurückgreifen.
Zu rsync es geht doch darum, dass das Script automatisch ausgeführt werden soll sobald das HEIMNETZWERK (Ich nehme jetzt mal an, dass damit der Standort gemeint ist und nicht das private Heim) erreichbar ist.
Hallo!
Danke schon mal an "alle da draußen" Da kann ich schon einiges von "mitnehmen".
Mit "Heimatnetz" meinte ich das Netz hier im hause in der Firma = im Büro.
VPN und Bandbreite...
Es steht für alle User 6000/512 zur Verfügung. Alle User heisst in Zahlen ca. 150 Stationen wobei nie mehr als 40-50 gleichzeitig online wären.
Nochmal weniger denke ich mit gleichzeitigem VPN Zugriff - Geschätzt sollten das nicht mehr als 10 gleichzeitig werden, die zu den 40-50 hinzu-
zurechnen wären. Die 40-50 brauchen allerdings auch die Bandbreite lediglich zum surfen und mailen.
Sperrung wenn die Geräte nicht abgegeben werden ...
Das mit dem "falschen treffen" hat was. Ich habe schon Leute vor mir, die auch genügenden Einfluß hätten das ganze ein kleine wenig aufzuweichen.
Deshalb wären für mich hier vielleicht Erfahrungswerte sinnvoll wie andere Unternehmen / Bildungseinrichtungen damit umgehen, sinnvoll.
Verschlüsselung ...
Sicher sinnvoll die ganze Festplatte zu verschlüsseln. Der Gedanke war aber (konnte ja keiner wissen) Nur die zweite (Datenpartition) zu verschlüsseln.
Auf den Geräten liefe kein E-Mailclient wie Outlook oder so. Daher dachte ich wegen der Geschwindigkeit, die Systempartition nicht zu verschlüsseln.
Tjaaa... und dann noch die Drucker zu Hause, also privat. Da wird es glaube ich haarig mit den eingeschränkten Nutzern. Kann man ggfs. etwas sinnvolles
stricken mit Richtlinien?
Nochmals Danke an alle die sich beteiligen und helfen!
Danke schon mal an "alle da draußen" Da kann ich schon einiges von "mitnehmen".
Mit "Heimatnetz" meinte ich das Netz hier im hause in der Firma = im Büro.
VPN und Bandbreite...
Es steht für alle User 6000/512 zur Verfügung. Alle User heisst in Zahlen ca. 150 Stationen wobei nie mehr als 40-50 gleichzeitig online wären.
Nochmal weniger denke ich mit gleichzeitigem VPN Zugriff - Geschätzt sollten das nicht mehr als 10 gleichzeitig werden, die zu den 40-50 hinzu-
zurechnen wären. Die 40-50 brauchen allerdings auch die Bandbreite lediglich zum surfen und mailen.
Sperrung wenn die Geräte nicht abgegeben werden ...
Das mit dem "falschen treffen" hat was. Ich habe schon Leute vor mir, die auch genügenden Einfluß hätten das ganze ein kleine wenig aufzuweichen.
Deshalb wären für mich hier vielleicht Erfahrungswerte sinnvoll wie andere Unternehmen / Bildungseinrichtungen damit umgehen, sinnvoll.
Verschlüsselung ...
Sicher sinnvoll die ganze Festplatte zu verschlüsseln. Der Gedanke war aber (konnte ja keiner wissen) Nur die zweite (Datenpartition) zu verschlüsseln.
Auf den Geräten liefe kein E-Mailclient wie Outlook oder so. Daher dachte ich wegen der Geschwindigkeit, die Systempartition nicht zu verschlüsseln.
Tjaaa... und dann noch die Drucker zu Hause, also privat. Da wird es glaube ich haarig mit den eingeschränkten Nutzern. Kann man ggfs. etwas sinnvolles
stricken mit Richtlinien?
Nochmals Danke an alle die sich beteiligen und helfen!
Moin,
Tjaaa... und dann noch die Drucker zu Hause, also privat. Da wird es glaube ich haarig mit den eingeschränkten Nutzern. Kann
man ggfs. etwas sinnvolles
stricken mit Richtlinien?
hmm - ist dazu nicht auch der Hauptbenutzer von MS zu nütze? So weit ich mich erinnre war das doch der Kompromiss zwischen Admin und User, und mit dem Hauptbenutzer war die Drucker Installation möglich. Ich weiß nur nicht ob es den noch unter Win7 gibt ... oO
wäre aber vielleicht noch eine Idee
Ansonsten: hol Dir die Zustimmung von ganz "oben" sonst floppt Dir das!
Gruß
Nagus
Tjaaa... und dann noch die Drucker zu Hause, also privat. Da wird es glaube ich haarig mit den eingeschränkten Nutzern. Kann
man ggfs. etwas sinnvolles
stricken mit Richtlinien?
wäre aber vielleicht noch eine Idee
Ansonsten: hol Dir die Zustimmung von ganz "oben" sonst floppt Dir das!
Gruß
Nagus
