deka 10 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Werte Kollegen, da mir in einem anderen Thread sehr schnell und kompetent geholfen wurde, hoffe ich, dass mir auch bei zwei anderen Problemen geholfen werden kann. Umgebung: Windows Server 2003 SP2 DC, 18 WinXP Clients Problembeschreibung: Wir haben einen öffentlichen Computerraum, in dem die User (Studenten) ausschliesslich im Internet surfen sollen. Alles andere soll ihnen verwehrt bleiben. Wir haben das auf die OU "Studenten" angewendete GPO insofern bearbeitet, dass die Studenten unseren Vorstellungen entsprechend eingeschränkt sind. Es bleiben lediglich zwei Probleme, die man anscheinend nicht so einfach in den Griff bekommen kann: 1. Obwohl die Kioskrechner versteckt sind, haben einige Studenten herausgefunden, dass man unter dem Tisch krabbelnd an die USB Ports kommen kann. Diese physikalische Sicherheitslücke nutzen jetzt einige aus, um externe USB Flashlaufwerke anzuschließen. Gibt es eine effektivere/elegantere Möglichkeit, externe Laufwerke softwaremäßig zu verbieten, statt im GPO den Windows Installer zu sperren und/oder die Installation von nicht signierten Treibern zu verbieten? (Die Treiber von früher angeschlossenen USB Laufwerken sind auf einigen Rechnern bereits installiert) 2. Meines Wissens ist es unmöglich, mithilfe der GPO-Mittel eine Änderung des Hintergrundbildes vollständig zu verhindern. Es ist immer möglich, über den IE oder Firefox ein Bild aufzurufen und es über das Kontextmenü als Hintergrund einzustellen. Kann man da noch etwas anderes machen oder geht das einfach nicht? Ich wäre für jeden Tipp sehr dankbar! Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Hallo deka da mir in einem anderen Thread sehr schnell und kompetent geholfen wurde Danke für die Blumen an die Community :) hoffe ich, dass mir auch bei zwei anderen Problemen geholfen werden kann. Na, aber bestimmt. ;) 1. Obwohl die Kioskrechner versteckt sind, haben einige Studenten herausgefunden, dass man unter dem Tisch krabbelnd an die USB Ports kommen kann. Diese physikalische Sicherheitslücke nutzen jetzt einige aus, um externe USB Flashlaufwerke anzuschließen.Gibt es eine effektivere/elegantere Möglichkeit, externe Laufwerke softwaremäßig zu verbieten, statt im GPO den Windows Installer zu sperren und/oder die Installation von nicht signierten Treibern zu verbieten? (Die Treiber von früher angeschlossenen USB Laufwerken sind auf einigen Rechnern bereits installiert) Schau doch mal, ob das hier ein Lösung für dich sein könnte: USB Sticks deaktivieren Gruß Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Was die USB-Sticks angeht, gibt's diverse Löungsansätze, wie Du auch in einigen Beiträgen hier im Forum finden kannst. Per Gruppenrichtlinien kann man viel erreichen, wenn Du aber eine komfortablere Lösung mit mehr Möglichkeiten willst, kommt Du um eine Drittanbietersoftware (z.B. Drivelock, Devicelock, usw.) nicht herum. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 1. Obwohl die Kioskrechner versteckt sind, haben einige Studenten herausgefunden, dass man unter dem Tisch krabbelnd an die USB Ports kommen kann. Diese physikalische Sicherheitslücke nutzen jetzt einige aus, um externe USB Flashlaufwerke anzuschließen. Rechner aufschreiben, USB-Anschlüsse ausbauen, Rechner wieder zuschrauben. Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Rechner aufschreiben, USB-Anschlüsse ausbauen, Rechner wieder zuschrauben.Genau, gewaltsam raus reissen. Oder wie in einem Beitrag geschrieben wurde, mit Heißkleber zukleben. ;)Hinweis: Bitte nicht nachmachen! Oder, wenn ihr sie gar nicht braucht, also auch nicht für Tastatur/Maus, dann im BIOS deaktivieren. Aber das sind recht brachiale Methoden. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Genau, gewaltsam raus reissen. Oder wie in einem Beitrag geschrieben wurde, mit Heißkleber zukleben. ;)Hinweis: Bitte nicht nachmachen! Wie bitte? Ich hab nichts von gewaltsamen entfernen geschrieben. Aufschrauben, Kabel abziehen und wieder zuschrauben. Wo ist das Problem? Oder, wenn ihr sie gar nicht braucht, also auch nicht für Tastatur/Maus, dann im BIOS deaktivieren. Dazu muß natürlich auch ein BIOS Passowort vergeben werden, wird auch häufig übersehen. Aber das sind recht brachiale Methoden. Wenn der Rechner für nichts anderes benutzt werden darf, muß man die anderen Möglichkeiten ausschliessen. Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Hi, hast du da mit SteadyState nicht die "besseren" Möglichkeiten? Gruss Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Wie bitte? Ich hab nichts von gewaltsamen entfernen geschrieben. Aufschrauben, Kabel abziehen und wieder zuschrauben. Wo ist das Problem?Sorry, ich wollte Dir nicht zu nahe treten. Mein Kommentar war auch eher scherzhafter Natur, deswegen das Smilie. Aber "ausbauen" in dem Sinne würde gar nicht gehen, zumindest bezweifle ich, ob man so ohne weiteres den USB-Port aus dem Gehäuse entfernen kann, zumindest ohne grobe mechanische Einwirkung. Wenn schon dieser Weg, dann eher nur die internen USB-Kabel vom Mainboard abziehen. So oder so wäre das aber kein Lösungsweg, wenn man die USB-Ports wegen anderer Pheripherie benötigt, was ja meistens der Fall ist. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Sorry, ich wollte Dir nicht zu nahe treten. Mein Kommentar war auch eher scherzhafter Natur, deswegen das Smilie. OK, alles in Ordnung. ;) So oder so wäre das aber kein Lösungsweg, wenn man die USB-Ports wegen anderer Pheripherie benötigt, was ja meistens der Fall ist. Jepp, dann besser den Rechner etwas "verkleiden". ;) Zitieren Link zu diesem Kommentar
deka 10 Geschrieben 23. September 2010 Autor Melden Teilen Geschrieben 23. September 2010 Danke für die vielen Antworten! Es kommt nicht in Frage, USB Ports mechanisch zu manipulieren, da an einigen Rechnern Eingabegeräte mit USB Anschluss angeschlossen sind. Außerdem soll es eine zentrale und komfortable Lösung sein, statt jeden einzelnen Client mühsam zu manipulieren. Abgesehen von der Drittanbietersoftware, welche Möglichkeiten, außer der beiden im Topic bereits erwähnten, hat man denn noch über die GPO Richtlinien? Vielleicht habe ich etwas übersehen. Hat noch jemand Ideen bezüglich der effektiven Sperre von Hintergrundbildern, die auch im Firefox/IE Wirkung zeigt? Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Abgesehen von der Drittanbietersoftware, welche Möglichkeiten, außer der beiden im Topic bereits erwähnten, hat man denn noch über die GPO Richtlinien? Vielleicht habe ich etwas übersehen.Ich denke, mit GPO und Drittanbieter sind alle Möglichkeiten erschlagen. Sowieso wenn's eine zentrale Lösung sein soll. Es gibt nun mal keine Standard-Funktion dafür. Zitieren Link zu diesem Kommentar
deka 10 Geschrieben 23. September 2010 Autor Melden Teilen Geschrieben 23. September 2010 Ich denke, mit GPO und Drittanbieter sind alle Möglichkeiten erschlagen. Sowieso wenn's eine zentrale Lösung sein soll. Es gibt nun mal keine Standard-Funktion dafür. Gut, damit ist die erste Frage abgehackt. Auch die Infos unter dem von phoenixcp geposteten Link sind sehr aufschlussreich, Danke! Es bleibt noch die zweite Frage zu den Hintergrundbildern offen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. September 2010 Melden Teilen Geschrieben 23. September 2010 Hat noch jemand Ideen bezüglich der effektiven Sperre von Hintergrundbildern, die auch im Firefox/IE Wirkung zeigt? Reicht es nicht aus, dem Benutzer das Recht auf Rechtsklick > Anpassen zu nehmen? Das geht mit GPOs, ob man damit allerdings das als Hintergrundbild einrichten verhindern kann, weiß ich nicht. Du kannst natürlich mit BGInfo etwas vorgeben, das kann der Benutzer dann vermutlich nicht überschreiben. faq-o-matic.net BGInfo um eigene Datenfelder erweitern Beispiel No. 20: ADM Templates - Administrative Vorlagen, Weiter unten mal einige Sample´s und Codebeispiele: Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 24. September 2010 Melden Teilen Geschrieben 24. September 2010 Hi, dann wirst du es auch nicht ganz sicher bekommen, wenn USB Geräte angeschlossen sind. Hier gibt es noch Tools, um USB zu deaktivieren > Downloads | Remote Administration For Windows Unten bei Free Utilities. Weiterhin gab es hier mal einen Artikel > c't - USB-Wächter Im Bios kann man teilweise jeden einzelnen USB aktivieren/deaktivieren (bei HP z.B) Zitieren Link zu diesem Kommentar
deka 10 Geschrieben 24. September 2010 Autor Melden Teilen Geschrieben 24. September 2010 Reicht es nicht aus, dem Benutzer das Recht auf Rechtsklick > Anpassen zu nehmen? Das geht mit GPOs, ob man damit allerdings das als Hintergrundbild einrichten verhindern kann, weiß ich nicht. Du kannst natürlich mit BGInfo etwas vorgeben, das kann der Benutzer dann vermutlich nicht überschreiben. faq-o-matic.net BGInfo um eigene Datenfelder erweitern Beispiel No. 20: ADM Templates - Administrative Vorlagen, Weiter unten mal einige Sample´s und Codebeispiele: Man kann den Rechtsklick im Windows-Explorer deaktivieren, das haben wir über GPO auch gemacht. Leider erstreckt sich diese Einschränkung nicht auf Fremdprogramme bzw. sie greift ausschliesslich innerhalb des Windows-Explorers. Sowohl im Firefox 3.6 als auch im IE 8 kann man, nach wie vor, trotz der über GPO deaktivierten Kontextmenüs mit der rechten Maustaste alles anklicken und sämtliche Kontextmenüs aufrufen. Mit BGInfo habe ich schon einmal experimentiert, ist ein nettes Tool, keine Zweifel. Jedoch wird lediglich das aktuelle Hintergrundbild um die im BGInfo angegebenen Informationen ergänzt. Ich bin mir nicht sicher, ob man das Hintergrundbild auf diese Weise "einfrieren" kann. Hi,dann wirst du es auch nicht ganz sicher bekommen, wenn USB Geräte angeschlossen sind. Hier gibt es noch Tools, um USB zu deaktivieren > Downloads | Remote Administration For Windows Unten bei Free Utilities. Weiterhin gab es hier mal einen Artikel > c't - USB-Wächter Im Bios kann man teilweise jeden einzelnen USB aktivieren/deaktivieren (bei HP z.B) Danke für den Link! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.