Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows für Schuleinsatz absichern.

Frage Microsoft

Mitglied: Lebowski23

Lebowski23 (Level 1) - Jetzt verbinden

21.05.2010, aktualisiert 18.10.2012, 5181 Aufrufe, 12 Kommentare

Hallo,

wir sind gerade dabei unser Schulnetzwerk aufzusetzen. Bis jetzt hatten wir auf den Windows XP CLients eine Wächterkarte laufen, um sie gegen Manipulationen abzusichern. Hiervon wollen wir uns loslösen, da sie die Administration erschweren und an der ein oder anderen Stellen die Performance negativ beeinflussen.

Die Schüler haben die rechte normaler User. Im Hintergrund läuft ein Linuxserver mit Samba als PDC. Die Profile werden jedes mal kopiert, deswegen schränken wir über die Gruppenrichtlinien schonmal die Ordner ein, die kopiert werden sollen (Eigene Dateien / Desktop / ...)

Welche Einstellungen sollt man noch vornehmen, um einen Client gegen jugendliche Experimentierfreund abzusichern. hat jemand Erfahrungen?


Besten Dank
Mitglied: dog
21.05.2010 um 17:05 Uhr
Bis jetzt hatten wir auf den Windows XP CLients eine Wächterkarte laufen, um sie gegen Manipulationen abzusichern.

Das ganze gibt es auch als Softwarelösung.
z.B.
DKS DRIVE
Faronics DeepFreeze
usw...

Lässt sich auch zentral verwalten.
Und mal ehrlich: Ich habe zwar schon die GPOs so strikt wie nur Möglich, aber eine Lücke findet sich immer und da ist es mir doch lieber wenn ich sicherstellen kann, dass jeder PC nach dem Neustart identisch ist.
Bitte warten ..
Mitglied: Edi.Pfisterer
21.05.2010, aktualisiert 18.10.2012
Hallo!
In Ergänzung zu Dogs Beitrag:
Die entsprechende Software aus dem Hause Microsoft nennt sich Steady State und verursacht keine zusätzlichen Kosten...
Für die Profamnce ist dieses Tool natürlich nicht der volle Bringer, aber Alles kann man halt nicht haben

einen weiteren Beitrag hatten wir schon mal hier

lg
Bitte warten ..
Mitglied: fireblade09
21.05.2010 um 22:09 Uhr
Habe früher viel mit der Software HDguard von rdt global gearbeitet. Fand ich eigentlich die optimalste Lösung.
Bitte warten ..
Mitglied: IT-Kean
22.05.2010 um 00:54 Uhr
Moin,

Schule ohne Wächterkarte = Chaos und etliches an Mehrarbeit.

Dr.Kaiserkarten sind schon ein muss an Schulen,wenn nicht diese dann die DKS Software,beides lässt sich Zentral Verwalten,auch über den Server.

Hier gibt aber Dr.Kaiser keine Garantie,funktionieren tut es trotzdem.

Ein Perfomance-Verlust mit der Hardwarelösung hab ich bis jetzt noch nicht feststellen können, bei der Softwarelösung wohl schon.

Und zur Jugendlichen Experimentierfreudigkeit kann ich dir nur sagen,dass in den 4 Jahren in denen ich Schulen unter die Arme greife, gibt es keine Grenzen, sowohl Schüler und auch Lehrer werden ein ewiges Wettrennen mit dir betreiben.
Bitte warten ..
Mitglied: Edi.Pfisterer
22.05.2010 um 08:59 Uhr
[OT]

Hallo IT-Kean!
Ich war 10 Jahre lang Sysadmin an einer Univeristät und bin es jetzt seit 7 Jahren an verschiedenen Schulen. Obendrein bin ich noch Lehrer...
ICH persönlich kann Deinem Beitrag gesamtinhaltich nicht zustimmen!
(wobei ich zugeben muss, dass mich Dein letztgültiger Ton auch etwas stört, da ich nicht glaube, dass es nur EINE Wahrheit gibt und ein MUSS für Irgendetwas habe ich auch noch nicht erkennen können - mal von menschlichen Grundbedürfnissen abgesehen...)

Ich meine ja auch nicht, dass eine Alarmanlage für ein Auto ein MUSS sind. Der Grund, warum mein Auto noch nie gestohlen wurde liegt einerseits darin, dass es eine Mistkiste ist und andererseits (und das scheint mir das entscheidendere zu sein), dass sich unsere Gesellschaft darauf geeinigt hat, fremdes Hab und Gut nicht mit dem eigenen zu verwechseln. Einige wenige halten sich nicht daran und für die haben wir dann entsprechende Konsequenzen erdacht. Aber prinzipiell - ich hoffe, wir sind uns da einig - gilt, dass der Grund dafür, dass mein Auto noch vor meiner Tür steht, nicht die Alarmanalage ist, sondern eine unausgesprochene Verhaltensvereinbarung aller hier lebender Menschen.

Und zur Jugendlichen Experimentierfreudigkeit kann ich dir nur sagen,dass in den 4 Jahren in denen ich Schulen unter die Arme greife, gibt es keine Grenzen,
sowohl Schüler und auch Lehrer werden ein ewiges Wettrennen mit dir betreiben.

Meiner bescheidenen Meinung zufolge liegt hier das Grundproblem im "Wettrennen" als solches, das zumeinst die Admins selbst starten...
Die Frage, die sich mir stellt, ist: Warum versuchen Schüler, ein System zu kompromitieren?
Die Antwort ist - denke ich - nicht einfach zu beantworten...
Eine Frage, die man sich in diesem Zusammenhang allerdings stellen könnte, ist jene, worin die Motivation des einzelnen liegt, sich die Arbeit anzutun und ein System zu manipulieren. Oftmals sind die Manipulationen ja nicht mal für den Manipulierer von Vorteil, dh, im schlimmsten Fall kann der PC nicht mehr verwendet werden. Eine mögliche Antwort könnte sein, dass die Ursache darin liegt, dass der Manipulant (colles Wort, oder?) sich als Sieger über den Admin fühlt - weil: siegen wollen wir ja alle.
Und hier setze ich jetzt an: Wenn es gar keinen Wettkampf gibt, dann gibt es auch kein Siegen - und damit auch keine Manipulation, weil kein Vorteil aus der investierten Energie zu erwarten ist.
Eine Dr. Kaiserkarte scheint mir in diesem Zusammenhang eine offene Kampferklärung zu sein (und sie wird von vielen auch so empfunden werden), die geradezu nach einem "Gegenschlag" schreit...

Klingt jetzt vielleicht für Manche komisch, was ich mir hier zusammenreime, meine lange Erfahrung hat mir persönlich gezeigt, dass ich für mich am richtigen Weg bin. Das soll allerdings nicht heissen, dass das für Andere auch ein gehbarer ist...

Zum Abschluss:
Das soll jetzt nicht heissen, dass ich auf Management by Vertrauen setze. Steady State, Gruppenrichtlinien, Firewalls, Zugangssperren zum Internet über Proxy, Domain Isolation, etc etc etc verwende ich auch alles...
NUR: Ich lass das Gefühl des Wettkampfs nicht aufkommen. Ich tue meine Arbeit, die Schüler machen ihre und der Grundkonsens lautet: "Wir lassen uns gegenseitig leben".

Dass Schüler CS installieren ist ein leicht nachzuvollziehender Vorgang (wäre ich 15 würde ich es auch machen), dass die Lehrer das nicht so toll finden, ist auch normal (und das wissen die Schüler auch, die sind ja nicht blöd...).

Langer Rede, kurzer Sinn:
Wo Menschen sind, menschelt es. Und das finde ich gut so!
Umgekehrt: wenn eine RFC oder eine Hardware menschliche Bedürnisse vorgeben, dann sollte nicht das Bedürfnis verändert werden, sondern an der RFC bzw. Hardware...

lg
Edi

[/OT]
Bitte warten ..
Mitglied: maretz
22.05.2010 um 11:17 Uhr
Moin Edi,

ich weiss ehrlich gesagt nicht wo du gearbeitet hast. ABER das Leute (und nicht nur Schüler) versuchen die Richtlinien des Admins zu umgehen weil "dieser blöde Depp" mal wieder ne Funktion gesperrt hat o.ä. ist normal. Dies hast du an Schulen, in Firmen usw. Warum glaubst du gibt es Admins? Wenn die Leute nicht am System rumdrehen würden dann wäre ein Admin überflüssig - einmal das System installieren und das ganze läuft bis zum St. Nimmerleinstag. Und um nen Drucker aufzustellen braucht man sicher keine 3jährige Ausbildung oder ein Studium...

Du vergleichst das mit deinem Auto - allerdings ist der Vergleich unsinn. Warum dein Auto vor der Tür steht? Weil du das Glück hast das derjenige der ein Auto klaut nicht an deinem Auto vorbeigegangen ist. ABER: Du bestreitest nicht das in deiner Stadt schonmal ein Fahrzeug geklaut / beschädigt wurde, oder? Der Unterschied hier: Der Schüler der CS auf dem PC installiert ist kein Problem. Nur das die Software ggf. nen Trojaner, Virus o.ä. mit einschleppt - und diese dann ALLE PCs befallen. Um bei deinem Auto zu bleiben müsstest du also davon ausgehen das wenn ein Dieb EIN Auto klaut das dann auch alle anderen Autos der Stadt potenziell geklaut werden. Würdest du dir dann ne Alarmanlage einbauen wenn dein Auto dann stehenbleibt?

Das nächste Problem ist sogar noch auf einer ganz anderen Ebene: Ein Schüler installiert CS. Gar kein Problem - und plötzlich läuft irgendwo wieder irgendein Volldepp Amok. Der Schüler erzählt zuhause ganz stolz seinen Eltern "Och, so schlimm ist CS nicht - das haben wir in der Schule auch auf dem Rechner". Herzlichen Glückwunsch - rate mal was du jetzt für nen Theater an der Schule hast (oder wenn das 12jährige Kiddy zuhause sagt das es in der Schule auf dem Rechner CS spielen darf - und warum es zuhause keine Ballerspiele spielen darf...).

Und was deine Offene Kriegserklärung angeht: Wenn einer meiner Kollegen das so auffasst - bitte. Ehrlich gesagt stört mich das herzlich wenig - und auch als Admin einer Schule würde mir das gepflegt am Ar... vorbeigehen. Ich bin NICHT dafür eingestellt worden das mich jeder mag und ich der beste Kumpel für alle bin. Ich bin dafür eingestellt worden das die Systeme laufen - und dafür werde ich bezahlt! Sollte hier einer der Kollegen (oder eben bei Schulen ein Schüler) meinen er möchte den Krieg beginnen - kein Thema. Bis zu einer gewissen Grenze sehe ich das sportlich - allerdings ist die nicht sehr weit! Wenn es darüber geht habe ich überhaupt kein Problem damit auch andere Maßnahmen zu treffen - sei es das es über die GL mit dem Kollegen geklärt wird oder (bei einer Schule) das ich dem die Kennung erstmal sperre. Und glaub mir - diesen Krieg führt man üblicherweise einmal -> und dann nie wieder. Denn auch die Admins bei Firmen haben am Anfang immer einmal die üblichen Diskussionen - warum man das jetzt nicht mehr darf, ob man das nicht freischalten kann und mindestens einen Kollegen der sich eh von Zuhause mit Computern auskennt und daher gleich sagen will wie man seinen Job zu tun hat. Und jedem dieser Personen muss man eben mal erklären wo die Grenze ist... Nur das du als "normaler Firmenadmin" den Unterschied hast das du mit 20-30 Jahren jemanden der deutlich älter ist sagen musst was er/sie zu tun hat. Bei Schülern hast du wenigstens das die nicht jedesmal erklären das die schon so lang im Job sind und das die eh besser wissen wie das geht...
Bitte warten ..
Mitglied: DerWoWusste
24.05.2010 um 16:46 Uhr
Moin.
Auch auf die Gefahr hin, dass hier wieder endlose Offtopic-Diskussionen angezettelt werden und unsubscribe ja leider nicht existiert, schreib ich was dazu.
Lebowski, Du schreibst
gegen jugendliche Experimentierfreund abzusichern
und nun sollen wir uns also ausmalen, was Du wogegen sichern willst und welche Randumstände bestehen. Das kann so nicht laufen, selbst wenn andere Schuladmins das lesen, heißt das nicht, dass die Lage vergleichbar ist und man Dich beraten kann. Investier doch zumindest ein paar Sätze mehr zu den Gegebenheiten: Was willst Du wogegen konkret schützen, was habt ihr Euch mit Samba konstruieren können (voller Verwaltungsumfang mit Samba möglich)?, gibt es ein Backupkonzept, was regelmäßiges Imaging (und somit die Möglichkeit des bequemen Rücksprungs zu einem vermutlich heilen Zustand) umfasst, und zu guter Letzt: was heißt "Netzwerk aufsetzen"? Was fehlt noch, woran könntest Du nach den Ratschlägen überhaupt noch drehen?
Bitte warten ..
Mitglied: Lebowski23
24.05.2010 um 19:36 Uhr
Also,

da wie ich im ersten Beitrag geschrieben habe, bis jetzt nur Wächterkarten eingesetzt werden, ist das was ich erreichen will, mir teilweise auch nicht ganz klar, wegen fehlender Erfahrung. Deswegen war meine Frage aus dem ersten Beitrag auch:

Was sollte man für Einstellungen vornehmen, um WindowsXp abzusichern?

Ich wäre also eher an Erfahrungen von Administratoren interessiert, die XP ohne Wächterkarte betreiben, was man noch vornehmen sollte bzw. wo Probleme bestehen. Ich weiß sozusagen nicht, was ich konkret schützen möchte, sondern mich Interessieren mögliche und bekannte Schwachstellen (ok die Standardsachen wie Viusschutz etc sind schon klar, aber der Einsatz in Schulen verlangt schon etwas mehr).

Da wir gerade das Netzwerk neu aufsetzen, ist noch alles drin, wir müssen nicht an einem bestehenden System herumarbeiten.


Noch ein paar Infos:

1.) Samba läuft als PDC, und ich ich trau mir zu, die ein oder andere Erweiterung vorzunehmen, so dass der volle Verwaltungsumfang möglich ist.

2.) Wir bauen keine Image, da die Hardwarearchitekturen zu unterschiedlich sind und sysprep an seine Grenzen stößt. Wir nutzen "unattended" ( http://unattended.sourceforge.net/ ) um sämtliche Rechner aufzusetzen und die Software zu installieren (dauert zwar ca. 60 min pro Rechner, das aber problemlos). Außerdem noch WPKG für die Softwareverteilung, falls danach noch etwas nötig ist.

Von den Wächterkarten bin ich wirklich nicht angetan,
    • z. B. bleiben alle, bis auf die Authetifizierungslogs auf den Clients. Die Wächterkarte würde das verhindern.
    • Wenn sich irgend eine Software automatisch updateted und man dies erst am nächsten Tag schafft, wird bei jedem Systemstart, das Update gezogen. Und in der Schule starten zig Rechner zigmal am Tag.
    • Schon mal einen Virus mittels Wächterkarte konserviert ... ?
    • Digitale Bildbearbeitung am gleichen Rechner mit und ohne Wächterkarte zeigen ziemlich deutlich die Performanceunterschiede
    • .....
Aufgrund meiner Erfahrungen stehe ich diesen Karten eher skeptisch gegenüber. Auch die DKS AdminKonsoke funktioniert nicht wirklich zuverlässig, man steht das ein oder mal wieder vor den Rechnern und muss sie per Hand ausschalten.

Ich würde es also lieber mit Windowshausmitteln erreichen, die einer oder bekannte Lücke, die Schuladmins bestimmt schon kennen zu schließen und im Fall der Fälle dann eine NeuInstallation ansetzten, die macht 10 Sekunden Arbeit.
Bitte warten ..
Mitglied: dog
24.05.2010 um 19:45 Uhr
z. B. bleiben alle, bis auf die Authetifizierungslogs auf den Clients. Die Wächterkarte würde das verhindern.

Den Satz verstehe ich zwar nicht, aber dafür gibt es Junction Points und ungesperrte Partitionen.

Wenn sich irgend eine Software automatisch updateted und man dies erst am nächsten Tag schafft,

Warum updatet sich bei euch Software automatisch?
Das ist für mich ein No-Go. Ich sage wann Updates passieren und sonst niemand.

Schon mal einen Virus mittels Wächterkarte konserviert ... ?

Nö, aber das Geld für Client-AV-Programme gespart.
So muss ich mich nur um den Server kümmern.

Digitale Bildbearbeitung am gleichen Rechner mit und ohne Wächterkarte zeigen ziemlich deutlich die Performanceunterschiede

Das werde ich die Tage mal ausprobieren...

Auch die DKS AdminKonsoke funktioniert nicht wirklich zuverlässig,

Kann ich auf keinen Fall bestätigen.
Es gab eine Version in der 4er Serie die war ne Katastrophe, aber mit den 5ern hatte ich bisher nie Probleme.
Bitte warten ..
Mitglied: DerWoWusste
24.05.2010 um 19:51 Uhr
Hallo. Das ist leider kaum mehr als zuvor. Schreib etwas, was leere Phrasen wie "...aber der Einsatz in Schulen verlangt schon etwas mehr" auffüllt. Was wollt Ihr erreichen?
das was ich erreichen will, [ist] mir teilweise auch nicht ganz klar
dann klär das. Eine Zielstellung zu formulieren, sollte auch ohne jahrelange Erfahrung möglich sein.
mich Interessieren mögliche und bekannte Schwachstellen
Mich auch. Und nu? Ihr habt xp - soll das als Anhaltspunkt ausreichen?

Überleg Dir, was Du mit der Maßnahme bezweckst.
Bitte warten ..
Mitglied: Lebowski23
24.05.2010 um 19:58 Uhr
> mich Interessieren mögliche und bekannte Schwachstellen
Mich auch. Und nu? Ihr habt xp - soll das als Anhaltspunkt ausreichen?

Dann warten wir gemeinsam, es kommt bestimmt noch was.
Bitte warten ..
Mitglied: Coreknabe
25.05.2010 um 11:41 Uhr
Hallo,

uunschlagbarer Vorteil der PC-Wächter-Karten: Ich kann nicht einfach stumpf F8 hämmern und abgesichert in das System kommen. Bei Steady State wäre das, andere Einstellungen mal außer acht gelassen, möglich.

Weitere Punkte:
- PC-Wächter verhindert das Booten des Rechners über USB-Stick / Boot-CD / -DVD
- Steady State läuft nicht mehr unter Vista / Windows 7 und MS sieht momentan auch keinen Grund, die Software hierfür anzupassen.

Was den Wettkampf User-Admin angeht: Je mehr die User sich gegängelt fühlen, umso eher versuchen Sie, das System zu überlisten. Heisst nicht, dass man als Admin nichts machen soll, ganz im Gegenteil. Ich würde als Admin den User aber nicht allzu deutlich merken lassen, dass ich alle möglichen Sachen sperren kann und am längeren Hebel sitze. Manche Admins ziehen hieraus scheinbar Ihre Existenzberechtigung.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Windows 10 Update empfehlenswert - wie absichern? (15)

Frage von mw1972 zum Thema Windows 10 ...

Windows Userverwaltung
Windows Anmeldung in der Domäne mit OTP absichern? (2)

Frage von Phill93 zum Thema Windows Userverwaltung ...

Windows 10
Kein Internet: Nach Windows-Update weltweit Computer offline (5)

Link von transocean zum Thema Windows 10 ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (13)

Frage von liquidbase zum Thema Windows Update ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...