Sunny61 807 Geschrieben 29. November 2012 Melden Teilen Geschrieben 29. November 2012 Nun hat es Klick gemacht. Ich bin die ganze Zeit dem Irrtum aufgesessen, daß die Updates genau zu dem Zeitpunkt, der in der Konfiguration angegeben ist (also standardmäßig 3 Uhr nachts) heruntergeladen und installiert werden. Nun habe ich kapiert, daß das Herunterladen der Updates unabhängig von dieser Einstellung ist, sondern nur die Installation dann erfolgt. Danke! Steht auch so in den Explains zu den GPO Einstellungen. Standardmäßig wird alle 22 Stunden nach Updates gesucht, sind welche vorhanden und auch für den Client genehmigt, wird gedownloadet. Installiert wird gem. Zeitplan. Alles andere wäre ja auch fatal. :) Nein, der automatische Neustart klappte dann nach der Installation problemlos, die Einstellung NoAutoRebootWithLoggedOnUsers scheint die Einstellung DisableWindowsUpdateAccess zu übersteuern. Achso, Du willst also um diese Zeit den Neustart, dann ist ja alles in Butter. ;) Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 29. November 2012 Autor Melden Teilen Geschrieben 29. November 2012 Achso, Du willst also um diese Zeit den Neustart, dann ist ja alles in Butter. ;) Ja, wobei ich jetzt überlege, statt einer Schutzkarte mit SteadyState zu arbeiten, das Teil ist ja kostenlos. Und SteadyState hat, wenn ich es richtig gelesen habe, ein eigenes Update-Management ... das muß ich mir nachher mal genauer anschauen. Leider gibt es das nur auf Englisch :( Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 29. November 2012 Melden Teilen Geschrieben 29. November 2012 Ja, wobei ich jetzt überlege, statt einer Schutzkarte mit SteadyState zu arbeiten, das Teil ist ja kostenlos. Und SteadyState hat, wenn ich es richtig gelesen habe, ein eigenes Update-Management ... das muß ich mir nachher mal genauer anschauen. Leider gibt es das nur auf Englisch :( Wenn Du den Client absichern willst, kann ich dir SAFER ans Herz legen. Me, myself and I Wenn ein normaler Benutzer die ganze Zeit angemeldet ist, sollte SAFER das Mittel der Wahl sein. Einfach mal in Ruhe durchlesen und an einem Testsystem ein bisschen rumspielen damit um ein Gefühl dafür zu bekommen. Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 30. November 2012 Autor Melden Teilen Geschrieben 30. November 2012 Wenn Du den Client absichern willst, kann ich dir SAFER ans Herz legen. Könnte als zusätzliche Absicherung interessant sein, aber auf die Windows-Updates möchte ich trotzdem nicht verzichten. Wenn das System "up to date" ist, sollte eigentlich schon das verhindern, daß irgendwelche Würmer auf dem Rechner unerwünschten Code ausführen. Oder spielst Du hier auf unerwünschte Programme an, die interaktiv von einem Benutzer ausgeführt werden? Die Gefahr wird nicht bestehen, denn der Rechner wird in einem verschlossenen Raum stehen, aus dem nur das HDMI-Kabel zu dem im öffentlichen Bereich stehenden Bildschirm führen wird. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 30. November 2012 Melden Teilen Geschrieben 30. November 2012 Könnte als zusätzliche Absicherung interessant sein, aber auf die Windows-Updates möchte ich trotzdem nicht verzichten. Wenn das System "up to date" ist, sollte eigentlich schon das verhindern, daß irgendwelche Würmer auf dem Rechner unerwünschten Code ausführen. Kommt darauf an, welche Berechtigungen der angemeldete Benutzer hat. Oder spielst Du hier auf unerwünschte Programme an, die interaktiv von einem Benutzer ausgeführt werden? Die Gefahr wird nicht bestehen, denn der Rechner wird in einem verschlossenen Raum stehen, aus dem nur das HDMI-Kabel zu dem im öffentlichen Bereich stehenden Bildschirm führen wird. Wenn SAFER installiert ist, kann ein angemeldeter Benutzer nur noch EXEn aus %programfiles% oder aus %windir% starten. Damit dort die Exen vorhanden sind, müssen sie vorher von einem Admin installiert oder dorthin kopiert werden. Man kann sich also nicht mehr eine EXE in sein Profil laden und starten, der Start schlägt fehl. Ist eine zusätzliche Sicherheitsoption. Zitieren Link zu diesem Kommentar
Sarek 11 Geschrieben 30. November 2012 Autor Melden Teilen Geschrieben 30. November 2012 Wenn SAFER installiert ist, kann ein angemeldeter Benutzer nur noch EXEn aus %programfiles% oder aus %windir% starten. Ja, das habe ich schon so verstanden. Damit dort die Exen vorhanden sind, müssen sie vorher von einem Admin installiert oder dorthin kopiert werden. Man kann sich also nicht mehr eine EXE in sein Profil laden und starten, der Start schlägt fehl. Richtig, aber wie gesagt, der einzige, der versuchen könnte, eine EXE außerhalb des System- oder des Programmverzeichnisses zu starten wäre ein Wurm. Menschen (außer dem Administrator) haben physikalisch keinen Zugang zu dem Gerät ;) Ist eine zusätzliche Sicherheitsoption. Zusätzlich ... sagte ich doch. Wichtiger scheint mir ein sauber gepatchtes System zu sein, so daß die üblichen Einfalltore für Würmer (Pufferüberläufe usw.) dicht sind. Was nicht heißt, daß SAFER keine gute Idee ist, aber eben zusätzlich ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.