Jump to content

Einschränkungen an Kioskrechnern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Werte Kollegen,

 

da mir in einem anderen Thread sehr schnell und kompetent geholfen wurde, hoffe ich, dass mir auch bei zwei anderen Problemen geholfen werden kann.

 

Umgebung:

Windows Server 2003 SP2 DC, 18 WinXP Clients

 

Problembeschreibung:

Wir haben einen öffentlichen Computerraum, in dem die User (Studenten) ausschliesslich im Internet surfen sollen. Alles andere soll ihnen verwehrt bleiben.

Wir haben das auf die OU "Studenten" angewendete GPO insofern bearbeitet, dass die Studenten unseren Vorstellungen entsprechend eingeschränkt sind.

 

Es bleiben lediglich zwei Probleme, die man anscheinend nicht so einfach in den Griff bekommen kann:

 

1. Obwohl die Kioskrechner versteckt sind, haben einige Studenten herausgefunden, dass man unter dem Tisch krabbelnd an die USB Ports kommen kann. Diese physikalische Sicherheitslücke nutzen jetzt einige aus, um externe USB Flashlaufwerke anzuschließen.

Gibt es eine effektivere/elegantere Möglichkeit, externe Laufwerke softwaremäßig zu verbieten, statt im GPO den Windows Installer zu sperren und/oder die Installation von nicht signierten Treibern zu verbieten? (Die Treiber von früher angeschlossenen USB Laufwerken sind auf einigen Rechnern bereits installiert)

 

2. Meines Wissens ist es unmöglich, mithilfe der GPO-Mittel eine Änderung des Hintergrundbildes vollständig zu verhindern. Es ist immer möglich, über den IE oder Firefox ein Bild aufzurufen und es über das Kontextmenü als Hintergrund einzustellen. Kann man da noch etwas anderes machen oder geht das einfach nicht?

 

Ich wäre für jeden Tipp sehr dankbar!

Link zu diesem Kommentar

Hallo deka

 

da mir in einem anderen Thread sehr schnell und kompetent geholfen wurde

Danke für die Blumen an die Community :)

 

hoffe ich, dass mir auch bei zwei anderen Problemen geholfen werden kann.

Na, aber bestimmt. ;)

 

1. Obwohl die Kioskrechner versteckt sind, haben einige Studenten herausgefunden, dass man unter dem Tisch krabbelnd an die USB Ports kommen kann. Diese physikalische Sicherheitslücke nutzen jetzt einige aus, um externe USB Flashlaufwerke anzuschließen.

Gibt es eine effektivere/elegantere Möglichkeit, externe Laufwerke softwaremäßig zu verbieten, statt im GPO den Windows Installer zu sperren und/oder die Installation von nicht signierten Treibern zu verbieten? (Die Treiber von früher angeschlossenen USB Laufwerken sind auf einigen Rechnern bereits installiert)

 

Schau doch mal, ob das hier ein Lösung für dich sein könnte: USB Sticks deaktivieren

 

Gruß

Link zu diesem Kommentar

1. Obwohl die Kioskrechner versteckt sind, haben einige Studenten herausgefunden, dass man unter dem Tisch krabbelnd an die USB Ports kommen kann. Diese physikalische Sicherheitslücke nutzen jetzt einige aus, um externe USB Flashlaufwerke anzuschließen.

 

Rechner aufschreiben, USB-Anschlüsse ausbauen, Rechner wieder zuschrauben.

Link zu diesem Kommentar
Rechner aufschreiben, USB-Anschlüsse ausbauen, Rechner wieder zuschrauben.
Genau, gewaltsam raus reissen. Oder wie in einem Beitrag geschrieben wurde, mit Heißkleber zukleben. ;)

Hinweis: Bitte nicht nachmachen!

 

Oder, wenn ihr sie gar nicht braucht, also auch nicht für Tastatur/Maus, dann im BIOS deaktivieren.

 

Aber das sind recht brachiale Methoden.

Link zu diesem Kommentar
Genau, gewaltsam raus reissen. Oder wie in einem Beitrag geschrieben wurde, mit Heißkleber zukleben. ;)

Hinweis: Bitte nicht nachmachen!

 

Wie bitte? Ich hab nichts von gewaltsamen entfernen geschrieben. Aufschrauben, Kabel abziehen und wieder zuschrauben. Wo ist das Problem?

 

Oder, wenn ihr sie gar nicht braucht, also auch nicht für Tastatur/Maus, dann im BIOS deaktivieren.

 

Dazu muß natürlich auch ein BIOS Passowort vergeben werden, wird auch häufig übersehen.

 

Aber das sind recht brachiale Methoden.

 

Wenn der Rechner für nichts anderes benutzt werden darf, muß man die anderen Möglichkeiten ausschliessen.

Link zu diesem Kommentar
Wie bitte? Ich hab nichts von gewaltsamen entfernen geschrieben. Aufschrauben, Kabel abziehen und wieder zuschrauben. Wo ist das Problem?
Sorry, ich wollte Dir nicht zu nahe treten. Mein Kommentar war auch eher scherzhafter Natur, deswegen das Smilie.

Aber "ausbauen" in dem Sinne würde gar nicht gehen, zumindest bezweifle ich, ob man so ohne weiteres den USB-Port aus dem Gehäuse entfernen kann, zumindest ohne grobe mechanische Einwirkung. Wenn schon dieser Weg, dann eher nur die internen USB-Kabel vom Mainboard abziehen.

 

So oder so wäre das aber kein Lösungsweg, wenn man die USB-Ports wegen anderer Pheripherie benötigt, was ja meistens der Fall ist.

Link zu diesem Kommentar
Sorry, ich wollte Dir nicht zu nahe treten. Mein Kommentar war auch eher scherzhafter Natur, deswegen das Smilie.

 

OK, alles in Ordnung. ;)

 

So oder so wäre das aber kein Lösungsweg, wenn man die USB-Ports wegen anderer Pheripherie benötigt, was ja meistens der Fall ist.

 

Jepp, dann besser den Rechner etwas "verkleiden". ;)

Link zu diesem Kommentar

Danke für die vielen Antworten!

 

Es kommt nicht in Frage, USB Ports mechanisch zu manipulieren, da an einigen Rechnern Eingabegeräte mit USB Anschluss angeschlossen sind. Außerdem soll es eine zentrale und komfortable Lösung sein, statt jeden einzelnen Client mühsam zu manipulieren.

 

Abgesehen von der Drittanbietersoftware, welche Möglichkeiten, außer der beiden im Topic bereits erwähnten, hat man denn noch über die GPO Richtlinien? Vielleicht habe ich etwas übersehen.

 

Hat noch jemand Ideen bezüglich der effektiven Sperre von Hintergrundbildern, die auch im Firefox/IE Wirkung zeigt?

Link zu diesem Kommentar
Abgesehen von der Drittanbietersoftware, welche Möglichkeiten, außer der beiden im Topic bereits erwähnten, hat man denn noch über die GPO Richtlinien? Vielleicht habe ich etwas übersehen.
Ich denke, mit GPO und Drittanbieter sind alle Möglichkeiten erschlagen. Sowieso wenn's eine zentrale Lösung sein soll.

Es gibt nun mal keine Standard-Funktion dafür.

Link zu diesem Kommentar
Ich denke, mit GPO und Drittanbieter sind alle Möglichkeiten erschlagen. Sowieso wenn's eine zentrale Lösung sein soll.

Es gibt nun mal keine Standard-Funktion dafür.

 

Gut, damit ist die erste Frage abgehackt. Auch die Infos unter dem von phoenixcp geposteten Link sind sehr aufschlussreich, Danke!

 

Es bleibt noch die zweite Frage zu den Hintergrundbildern offen.

Link zu diesem Kommentar

Hat noch jemand Ideen bezüglich der effektiven Sperre von Hintergrundbildern, die auch im Firefox/IE Wirkung zeigt?

 

Reicht es nicht aus, dem Benutzer das Recht auf Rechtsklick > Anpassen zu nehmen? Das geht mit GPOs, ob man damit allerdings das als Hintergrundbild einrichten verhindern kann, weiß ich nicht.

 

Du kannst natürlich mit BGInfo etwas vorgeben, das kann der Benutzer dann vermutlich nicht überschreiben. faq-o-matic.net BGInfo um eigene Datenfelder erweitern Beispiel No. 20: ADM Templates - Administrative Vorlagen, Weiter unten mal einige Sample´s und Codebeispiele:

Link zu diesem Kommentar

Hi,

dann wirst du es auch nicht ganz sicher bekommen, wenn USB Geräte angeschlossen sind.

Hier gibt es noch Tools, um USB zu deaktivieren > Downloads | Remote Administration For Windows Unten bei Free Utilities.

Weiterhin gab es hier mal einen Artikel > c't - USB-Wächter

Im Bios kann man teilweise jeden einzelnen USB aktivieren/deaktivieren (bei HP z.B)

Link zu diesem Kommentar
Reicht es nicht aus, dem Benutzer das Recht auf Rechtsklick > Anpassen zu nehmen? Das geht mit GPOs, ob man damit allerdings das als Hintergrundbild einrichten verhindern kann, weiß ich nicht.

 

Du kannst natürlich mit BGInfo etwas vorgeben, das kann der Benutzer dann vermutlich nicht überschreiben. faq-o-matic.net BGInfo um eigene Datenfelder erweitern Beispiel No. 20: ADM Templates - Administrative Vorlagen, Weiter unten mal einige Sample´s und Codebeispiele:

 

Man kann den Rechtsklick im Windows-Explorer deaktivieren, das haben wir über GPO auch gemacht. Leider erstreckt sich diese Einschränkung nicht auf Fremdprogramme bzw. sie greift ausschliesslich innerhalb des Windows-Explorers.

Sowohl im Firefox 3.6 als auch im IE 8 kann man, nach wie vor, trotz der über GPO deaktivierten Kontextmenüs mit der rechten Maustaste alles anklicken und sämtliche Kontextmenüs aufrufen.

 

Mit BGInfo habe ich schon einmal experimentiert, ist ein nettes Tool, keine Zweifel. Jedoch wird lediglich das aktuelle Hintergrundbild um die im BGInfo angegebenen Informationen ergänzt. Ich bin mir nicht sicher, ob man das Hintergrundbild auf diese Weise "einfrieren" kann.

 

Hi,

dann wirst du es auch nicht ganz sicher bekommen, wenn USB Geräte angeschlossen sind.

Hier gibt es noch Tools, um USB zu deaktivieren > Downloads | Remote Administration For Windows Unten bei Free Utilities.

Weiterhin gab es hier mal einen Artikel > c't - USB-Wächter

Im Bios kann man teilweise jeden einzelnen USB aktivieren/deaktivieren (bei HP z.B)

 

Danke für den Link!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...