tryandsolve
Goto Top

Lokale Virenprüfstation : Windows 10: Ändern von Einstellungen verhinden

Hallo Administratorengemeinde,

ich habe die Aufgabe bekommen, mir Gedanken darüber zu machen, wie folgendes Szenario am besten umsetzen könnte:

Wir haben vor, an mehreren Standorten jeweils einen Client als lokale Virenprüfstation einzurichten. Mitarbeiter können dann über einen USB-Stick Daten auf den Client schaffen und Dateien dort mit einem / mehreren Antivirenprogrammen scannen.
Die Systeme sollen so gehärtet werden, dass der lokale, eingeschränkte Benutzer), der den Prüfclient verwendet, wirklich nichts anderes tun kann als Dateien, die sich auf dem USB-Stick befinden, zu prüfen. Es sollen keinerlei Windows-Einstellungen vom Nutzer der Prüfstation verändert werden können.

- Die Boardmittel, die mir momentan einfallen wären: GPOs und Applocker. Aber damit kann ich doch nicht jede Einstellungsanpassung unterbinden?
- Außerdem habe ich mir Freeware-Version von "Reboot Restore Rx" angesehen. Dabei handelt es sich um eine Software, die bei jedem Neustart den Zustand des Systems auf den ursprünglichen Zustand zurücksetzt. Das halte ich eigentlich für eine sehr gute Idee, aber in der Praxis dürfte es am Aufwand scheitern, da ja auch regelmäßig Virensignaturen eingespielt werden müssen, und dafür die Software jedes mal manuell deaktiviert werden müsste?

Ich bin jedem sehr dankbar, der mich in die richtige Richtung weisen kann oder mir grob skizziert, wie das im eigenen Unternehmen gelöst wurde...
Vielen Dank schon mal im Voraus für den Input!

Content-Key: 322951

Url: https://administrator.de/contentid/322951

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: 119944
119944 05.12.2016 um 15:32:41 Uhr
Goto Top
Moin,

Mehrere Virenscanner funktionieren unter Windows nur bedingt gut. face-wink
Wozu dann überhaupt ein Windows verwenden?

Ich würde das ganze mit einem Linux realisieren, dort kannst du problemlos mehrere Scanner nebeneinander installieren und dann On-Demand scannen lassen.

Alternativ einfach die c't Desinfect verwenden:
https://www.heise.de/download/product/desinfect-71642

VG
Val
Mitglied: Deepsys
Deepsys 05.12.2016 um 16:35:02 Uhr
Goto Top
Hi,
Zitat von @TryAndSolve:
Mitarbeiter können dann über einen USB-Stick Daten auf den Client schaffen und Dateien dort mit einem / mehreren Antivirenprogrammen scannen.

Und ihr meint das klappt?
Wenn es mal wieder schnell gehen muss, wird der Stick garantiert zuerst am eigenen PC eingesteckt und dann kann es zu spät sein.

Ich kenne eure Arbeitsweise natürlich nicht, aber muss es per USB sein?
Geht das nicht direkt über das Netzwerk und dort scannt du es am besten mit mehreren Scannern hintereinander?

Wenn das nicht alles Techniker sind, die am besten noch Ubuntu kennen, wird das meiner MEinung nach auch mit Desinfec't nichts.
Obwohl ich das erstmal auch empfohlen hätte.

VG,
deepsys
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.12.2016 um 16:37:23 Uhr
Goto Top
Zitat von @119944:

Alternativ einfach die c't Desinfect verwenden:
https://www.heise.de/download/product/desinfect-71642


Den würde ich auch empfehlen, allerdings in der Version auf der DVD vom c't-Sonderheft Security 2016.

Das könnte man auf einen Stick installieren und so modifizieren daß eingesteckte Sticks automatisch gescannt werden und der User nicht ändern kann.

lks
Mitglied: TryAndSolve
TryAndSolve 05.12.2016 um 18:17:48 Uhr
Goto Top
Ich hoffe ich kann meine Frage noch etwas klarstellen. Leider habe ich auch noch etwas wenige Infos, weil ich die Aufgabe heute zwischen Tür und Angel bekommen habe.

Und ihr meint das klappt?
Wenn es mal wieder schnell gehen muss, wird der Stick garantiert zuerst am eigenen PC eingesteckt und dann kann es zu spät sein.


Auf allen Clients sind bereits Endpoint-Security-Lösungen und auf den Servern ebenfalls Lösungen gegen Maleware vorhanden. Die Prüfstationen sind meines Wissens nach für Dateien gedacht, bei der bereits ein Virenscanner angeschlagen hat, oder für Dateien, die von externen Dienstleistern über externe Datenträger mitgebracht werden. Wenn mich nicht alles täuscht, wird zusätzlich zum Scan der Prüfstation auch noch automatisch Virustotal befragt.


Alternativ einfach die c't Desinfect verwenden:
Von Desinfect habe ich schon gehört und wäre sicherlich auch mein Ansatz gewesen. Die Lösung auf den Prüfstationen ist aber nicht mehr verhandelbar.


Eigentlich bleibt nur folgende Frage:


Wie kann ich WIndows 10 so härten, dass Benutzer und Programme keine Veränderungen am System und den Windows-Einstellungen durchführen können?

Ich danke nochmals...
Mitglied: BassFishFox
BassFishFox 05.12.2016 um 19:50:05 Uhr
Goto Top
Hallo,

Das was ihr vorhabt, wuerde bei uns so ganicht erlaubt werden. face-wink

Die Prüfstationen sind meines Wissens nach für Dateien gedacht, bei der bereits ein Virenscanner angeschlagen hat, oder für Dateien, die von externen Dienstleistern über externe Datenträger mitgebracht werden.

Fuer den Fall das mal irgendwann Datentraeger durch Benutzer/Externe eintrudeln, pruefen wir! BEVOR die irgendwo versucht werden anzuschliessen. Was gottlob nicht geht, weil der gemeine Nutzer hat hier USB-Verbot und keine DVD/CD-LW.

Wie kann ich WIndows 10 so härten, dass Benutzer und Programme keine Veränderungen am System und den Windows-Einstellungen durchführen können?

m.E. garnicht. face-wink

BFF