Jump to content

Client PCs nur mit GPO vor Schülern absichern

testosteron

Von testosteron
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

testosteron Community Regular

testosteron   10

Geschrieben
Geschrieben

Hallo!

 

Ist es möglich einen Client (Win XP Pro oder Win 7) nur via GPO so abzusichern dass ein normaler User keinerlei Schaden anrichten kann?

 

Grund meiner Frage:

Wir haben zwar schon eine recht stickte GPO für Schüler (siehe Anhang), setzen aber dennoch Dr. Kaiser Drive ein.

Davon würden wir ggf. gerne los kommen, da unsere Version auch nicht mehr mit Windows 7 läuft und es mehr Aufwand bei Updateinstallation usw. verursacht.

 

Grüße!

 

Christian

Schüler.pdf

Link zu diesem Kommentar
testosteron Community Regular

testosteron   10

Geschrieben
  • Autor
Geschrieben

Dass es nicht 100%ig werden kann, ist schon klar. Aber halt so gut wie möglich.

 

Ansatz besteht darin dass alle lokalen Laufwerke ausgeblendet werden, und nur Dateien von vorgegeben Pfaden ausgeführt werden können.

 

Also wenn ein Schüler eine EXE oder BAT Datei in sein Verzeichnis lädt, kann er diese nachher nicht ausführen.

 

Regedit und CMD sind sowieso zu.

 

Oder doch lieber Drive?!

Link zu diesem Kommentar
zahni Grand Master

zahni   554

Geschrieben
Geschrieben

USB-Ports für Massenspeicher noch deaktivieren oder USB im BIOS ganz abschalten. Bei einigen BIOS-Versionen lässt die der USB-Massenspeicher-Support auch im BIOS abschalten. Bootreihenfolge ändern (kein Boot von USB möglich), Passwort im BIOS setzen. Wenn Du PXE nicht brauchst, im BIOS deaktivieren.

 

Proxy verwenden, der ausführbare Dateien rausfiltert.

 

Richtig eingesetzt funktionieren die Software Restricition Policies recht gut.

 

Bei Windows 7 Enterprise gibt es dann noch den Applocker.

 

-Zahni

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Ansatz besteht darin dass alle lokalen Laufwerke ausgeblendet werden, und nur Dateien von vorgegeben Pfaden ausgeführt werden können.

 

Wenn die NTFS-Berechtigungen passen, ist das IMHO nicht nötig.

 

Also wenn ein Schüler eine EXE oder BAT Datei in sein Verzeichnis lädt, kann er diese nachher nicht ausführen.

 

Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: Me, myself and I

Link zu diesem Kommentar
testosteron Community Regular

testosteron   10

Geschrieben
  • Autor
Geschrieben
Aha, und harmlos ist jetzt genau was? ;)

Naja, ich habe nix dagegen wenn die Schüler von zuhause ne Word Datei oder ein Bild mitbringen, und dies via USB Stick in ihr Profil laden

 

Wenn die NTFS-Berechtigungen passen, ist das IMHO nicht nötig.

 

Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: Me, myself and I

 

Was diese SAFER.INI macht, habe ich per Gruppenrichtlinie definiert:

Alle Anwendungen, Bildschirmschoner, CMD Dateien, usw. die nicht unter C:\Windows, C:\Programme bzw. C:\Programme(x86) liegen können nicht ausgeführt werden.

Damit ist doch eigentlich gewährleistet das die Schüler keine Schadsoftware ausführen können.

Oder habe ich einen Denkfehler?!

 

Grüße!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...