Laptop im Schulnetz

[GMarMepEl 10]

Hallo Forengemeinde,

 

wie sichert ihr das Netz beim Einsatz von Schüler/Lehrer-Laptops ab?

 

Basis: W-2008-S; jeder hat ein eigenen Account und könnte/müsste sein Netzlaufwerk verbinden.

[Windowsbetatest 10]

Hallo,

 

etwas wenig Infos ;)

 

Ich mache da eine zertifikatsbasierte Authentifizierung gegen einen NAP Server mit einer entsprechenden Integritätsrichtlinie (V-Scanner, Updates, FW).

 

mfg

[calibra22 10]

Hallo,

 

leider läßt du uns mit Infos bissle im Regen stehen :-)

Was willst du genau??

 

Wir haben es hier so gehandhabt, das nur schuleigene Rechner verwendet werden dürfen. Diese sind alle Mitglied in einer Domäne, die dann über GPOs relativ arg und gut "beschnitten" sind.

 

Als Proxy verwende ich JANA Server, und habe dementsprechende Seiten zur Nutzung freigegeben.

 

Ebenso ist noch Mastereye im Einsatz. Dank Mastereye hat man schon ganz gut seine "Leute" im Griff :-)

 

schöne Grüße

 

Michael

PS: wenn aber die Schüler die Laptops von zuhause mitbringen, würde dir mein Vorgehen nicht viel bringen :-)

[Windowsbetatest 10]

PS: wenn aber die Schüler die Laptops von zuhause mitbringen, würde dir mein Vorgehen nicht viel bringen :-)

 

Hallo,

bei "mir" gibt es viele (ca. 50) Private NBs, dies läßt sich über NAP/GPOs ziemlich "vernünftig" lösen.

 

Wir haben in etwa 300 NBs von Schülern (+ 50 Lehrer) im W(LAN) und es läuft alles in allem ziemlich gut.

 

mfg

 

PS

Proxy ist Squid mit selbstgetrickter Zugriffscontrolle über Webfrontend für die Lehrer.

[GMarMepEl 10]

Entschuldigung - hier mehr Infos.

Es geht nicht im die Schul-PCs; sie sind in der Domäne.

Es geht um die Privat-Laptops der Lehrer bzw. Schüler und mit den allgemeinen Risikine (z.B. keine ausreichender Virenschutz...)

 

Für diese Rechner besteht die Möglichkeit der Netzlaufwerkverbindung mit dem auf dem Server befindlichen eigenen Laufwerk, freier Zugriff wie die Schul-PCs aufs Internet.

Wir wollen das auch zulassen. Wie schützt ihr das Schulsystem bzw. wie kontrolliert ihr diese Zugänge?

[Windowsbetatest 10]

Entschuldigung - hier mehr Infos.

Es geht nicht im die Schul-PCs; sie sind in der Domäne.

Es geht um die Privat-Laptops der Lehrer bzw. Schüler und mit den allgemeinen Risikine (z.B. keine ausreichender Virenschutz...)

 

Für diese Rechner besteht die Möglichkeit der Netzlaufwerkverbindung mit dem auf dem Server befindlichen eigenen Laufwerk, freier Zugriff wie die Schul-PCs aufs Internet.

Wir wollen das auch zulassen. Wie schützt ihr das Schulsystem bzw. wie kontrolliert ihr diese Zugänge?

 

Hallo,

 

also wie geschrieben, alle NBs sind Domainmitglieder und die User (leider) lokale Admins, das NB muss einmal durch die EDV. Dort wird es Domainmitglied und bekommt das Cert per GPO. Mit diesem Cert authifiziert sich das NB gegen den NAP (mit Integritätsrichtlinie) und wird entweder ins (W)LAN gelassen oder nicht. Die User verwenden ihren Domainaccount auf Ihrem Laptops und greifen so auf die FS zu.

 

mfg

[GMarMepEl 10]

Hallo,

 

also wie geschrieben, alle NBs sind Domainmitglieder und die User (leider) lokale Admins, das NB muss einmal durch die EDV. Dort wird es Domainmitglied ...

mfg

 

Gerade das möchte ich nicht, weil es ein relativ großer Aufwand bei über 1.000Schülern ist, die nach und nach ein eigenes NB bekommen.

 

Gibt es eine andere Lösung?

[phoenixcp 10]

Es geht um die Privat-Laptops der Lehrer bzw. Schüler und mit den allgemeinen Risikine (z.B. keine ausreichender Virenschutz...)

 

Und die willst du wirklich in dein Netz lassen? Denen würde ich maximal eine Art "Gast-Netz" zur Verfügung stellen, welches komplett vom eigentlichen Netz abgegrenzt ist.

[redgoblin 10]

Bei uns an den Schulen gibt es einen speziellen Internet-Server in einem autarken Netz (nur per WLAN/AccessPoint). In das produktive Netz allgemein kommt niemand rein. Nur speziell aufgenommene Computer und Notebooks von der Schule.

Gab niemals Beschwerden diesbezüglich.

[Windowsbetatest 10]

Gerade das möchte ich nicht, weil es ein relativ großer Aufwand bei über 1.000Schülern ist, die nach und nach ein eigenes NB bekommen.

 

Gibt es eine andere Lösung?

 

Das Problem ist, wenn es private NBs sind, kannst du den Leute die Admin Rechte nicht wirklich nehmen, bzw. die können die sich relativ einfach wieder verschaffen.

 

Auf der anderen Seite kannst du die Schüler die NBs nicht einrichten lassen, das erzeugt mehr ärger ("bei mir gehts nicht").

 

mfg

[lefg 276]

Ich sichere das physikalische Seminarnetz überhaupt nicht ab. Abgesichert sind per FW und Virenschutz die eigenen Rechner der Pools und Seminarräume. Die privaten Rechner der Studenten und Dozenten kann und will ich nicht kontrollieren, wozu die Mühe, der Aufwand, wer soll das bezahlen, wovon?

[GMarMepEl 10]

Was haltet ihr von einer Steuerung/Zulassung über die Mac-Adresse?

[LukasB 10]

Was haltet ihr von einer Steuerung/Zulassung über die Mac-Adresse?

 

Nichts, völlig unnützer Humbug.

 

802.1x mit EAP-TLS, oder man kanns gleich seinlassen.

[Windowsbetatest 10]

Nichts, völlig unnützer Humbug.

 

802.1x mit EAP-TLS, oder man kanns gleich seinlassen.

 

Hallo,

 

so läßt sich AFAIK kein NAP mit Integritätsrichtlinie nutzen.

 

Daher setze ich auf PEAP mit Zertifikaten und Integritätsrichtlinie.

 

mfg

[redgoblin 10]

Ich fasse mal zusammen:

 

Du willst private Laptops in dein Schulnetzwerk stecken? Es gibt zwei Richtungen die du gehen kannst:

 

Richtung 1: Sicherheit. Ergo: Keine fremden Rechner

Richtung 2: Service. Ergo: Fremde Rechner im Netz

 

Alles was mit Mischen zu tun hat ist entweder nicht mehr sicher oder bequem für die User. Ich als Admin könnte so weit gehen, wie oben erwähnt, ein zweites Gast-Netz mit Hotspots aufzustellen, dass man ins Internet kann. Nicht mehr.