testosteron 10 Geschrieben 5. Dezember 2012 Melden Teilen Geschrieben 5. Dezember 2012 Hallo! Ist es möglich einen Client (Win XP Pro oder Win 7) nur via GPO so abzusichern dass ein normaler User keinerlei Schaden anrichten kann? Grund meiner Frage: Wir haben zwar schon eine recht stickte GPO für Schüler (siehe Anhang), setzen aber dennoch Dr. Kaiser Drive ein. Davon würden wir ggf. gerne los kommen, da unsere Version auch nicht mehr mit Windows 7 läuft und es mehr Aufwand bei Updateinstallation usw. verursacht. Grüße! Christian Schüler.pdf Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Dezember 2012 Melden Teilen Geschrieben 5. Dezember 2012 Keinerlei (bzw. 100%) wirst du sowieso nie erreichen, aber mit genügend Aufwand kann man es sehr sicher hinbekommen. Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 5. Dezember 2012 Autor Melden Teilen Geschrieben 5. Dezember 2012 Dass es nicht 100%ig werden kann, ist schon klar. Aber halt so gut wie möglich. Ansatz besteht darin dass alle lokalen Laufwerke ausgeblendet werden, und nur Dateien von vorgegeben Pfaden ausgeführt werden können. Also wenn ein Schüler eine EXE oder BAT Datei in sein Verzeichnis lädt, kann er diese nachher nicht ausführen. Regedit und CMD sind sowieso zu. Oder doch lieber Drive?! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 5. Dezember 2012 Melden Teilen Geschrieben 5. Dezember 2012 USB-Ports für Massenspeicher noch deaktivieren oder USB im BIOS ganz abschalten. Bei einigen BIOS-Versionen lässt die der USB-Massenspeicher-Support auch im BIOS abschalten. Bootreihenfolge ändern (kein Boot von USB möglich), Passwort im BIOS setzen. Wenn Du PXE nicht brauchst, im BIOS deaktivieren. Proxy verwenden, der ausführbare Dateien rausfiltert. Richtig eingesetzt funktionieren die Software Restricition Policies recht gut. Bei Windows 7 Enterprise gibt es dann noch den Applocker. -Zahni Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 5. Dezember 2012 Autor Melden Teilen Geschrieben 5. Dezember 2012 OK, USB Sticks sollen zugelassen werden. Schließlich sollen die Schüler harmlose Dateien mitnehmen / mitbringen dürfen. Ist sonst meine Richtlinie ausreichend, oder habe ich was vergessen?! Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Dezember 2012 Melden Teilen Geschrieben 5. Dezember 2012 Aha, und harmlos ist jetzt genau was? ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 5. Dezember 2012 Melden Teilen Geschrieben 5. Dezember 2012 Ansatz besteht darin dass alle lokalen Laufwerke ausgeblendet werden, und nur Dateien von vorgegeben Pfaden ausgeführt werden können. Wenn die NTFS-Berechtigungen passen, ist das IMHO nicht nötig. Also wenn ein Schüler eine EXE oder BAT Datei in sein Verzeichnis lädt, kann er diese nachher nicht ausführen. Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: Me, myself and I Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 5. Dezember 2012 Autor Melden Teilen Geschrieben 5. Dezember 2012 Aha, und harmlos ist jetzt genau was? ;) Naja, ich habe nix dagegen wenn die Schüler von zuhause ne Word Datei oder ein Bild mitbringen, und dies via USB Stick in ihr Profil laden Wenn die NTFS-Berechtigungen passen, ist das IMHO nicht nötig. Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: Me, myself and I Was diese SAFER.INI macht, habe ich per Gruppenrichtlinie definiert: Alle Anwendungen, Bildschirmschoner, CMD Dateien, usw. die nicht unter C:\Windows, C:\Programme bzw. C:\Programme(x86) liegen können nicht ausgeführt werden. Damit ist doch eigentlich gewährleistet das die Schüler keine Schadsoftware ausführen können. Oder habe ich einen Denkfehler?! Grüße! Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 6. Dezember 2012 Melden Teilen Geschrieben 6. Dezember 2012 Moin, Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: da wären GPO aber vorzuziehen, weil besser zu verwalten. Me, myself and I Ach je, Stefan Kanthak ... lange nichts von gehört ... Gruß, Nils Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 6. Dezember 2012 Melden Teilen Geschrieben 6. Dezember 2012 da wären GPO aber vorzuziehen, weil besser zu verwalten. Ja, schon klar. Ich wollte es auch nur als Idee in die Diskussion werfen. Ach je, Stefan Kanthak ... lange nichts von gehört ... Hast Du auch nichts verpasst, der Ton hat sich nicht verändert. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.