Client PCs nur mit GPO vor Schülern absichern

[testosteron 10]

Hallo!

 

Ist es möglich einen Client (Win XP Pro oder Win 7) nur via GPO so abzusichern dass ein normaler User keinerlei Schaden anrichten kann?

 

Grund meiner Frage:

Wir haben zwar schon eine recht stickte GPO für Schüler (siehe Anhang), setzen aber dennoch Dr. Kaiser Drive ein.

Davon würden wir ggf. gerne los kommen, da unsere Version auch nicht mehr mit Windows 7 läuft und es mehr Aufwand bei Updateinstallation usw. verursacht.

 

Grüße!

 

Christian

Schüler.pdf

[NorbertFe 2.283]

Keinerlei (bzw. 100%) wirst du sowieso nie erreichen, aber mit genügend Aufwand kann man es sehr sicher hinbekommen.

[testosteron 10]

Dass es nicht 100%ig werden kann, ist schon klar. Aber halt so gut wie möglich.

 

Ansatz besteht darin dass alle lokalen Laufwerke ausgeblendet werden, und nur Dateien von vorgegeben Pfaden ausgeführt werden können.

 

Also wenn ein Schüler eine EXE oder BAT Datei in sein Verzeichnis lädt, kann er diese nachher nicht ausführen.

 

Regedit und CMD sind sowieso zu.

 

Oder doch lieber Drive?!

[zahni 587]

USB-Ports für Massenspeicher noch deaktivieren oder USB im BIOS ganz abschalten. Bei einigen BIOS-Versionen lässt die der USB-Massenspeicher-Support auch im BIOS abschalten. Bootreihenfolge ändern (kein Boot von USB möglich), Passwort im BIOS setzen. Wenn Du PXE nicht brauchst, im BIOS deaktivieren.

 

Proxy verwenden, der ausführbare Dateien rausfiltert.

 

Richtig eingesetzt funktionieren die Software Restricition Policies recht gut.

 

Bei Windows 7 Enterprise gibt es dann noch den Applocker.

 

-Zahni

[testosteron 10]

OK, USB Sticks sollen zugelassen werden. Schließlich sollen die Schüler harmlose Dateien mitnehmen / mitbringen dürfen.

 

Ist sonst meine Richtlinie ausreichend, oder habe ich was vergessen?!

[NorbertFe 2.283]

Aha, und harmlos ist jetzt genau was? ;)

 

Bye

Norbert

[Sunny61 833]

Ansatz besteht darin dass alle lokalen Laufwerke ausgeblendet werden, und nur Dateien von vorgegeben Pfaden ausgeführt werden können.

 

Wenn die NTFS-Berechtigungen passen, ist das IMHO nicht nötig.

 

Also wenn ein Schüler eine EXE oder BAT Datei in sein Verzeichnis lädt, kann er diese nachher nicht ausführen.

 

Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: Me, myself and I

[testosteron 10]

Aha, und harmlos ist jetzt genau was? ;)

Naja, ich habe nix dagegen wenn die Schüler von zuhause ne Word Datei oder ein Bild mitbringen, und dies via USB Stick in ihr Profil laden

 

Wenn die NTFS-Berechtigungen passen, ist das IMHO nicht nötig.

 

Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: Me, myself and I

 

Was diese SAFER.INI macht, habe ich per Gruppenrichtlinie definiert:

Alle Anwendungen, Bildschirmschoner, CMD Dateien, usw. die nicht unter C:\Windows, C:\Programme bzw. C:\Programme(x86) liegen können nicht ausgeführt werden.

Damit ist doch eigentlich gewährleistet das die Schüler keine Schadsoftware ausführen können.

Oder habe ich einen Denkfehler?!

 

Grüße!

[NilsK 3.046]

Moin,

 

Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig:

 

da wären GPO aber vorzuziehen, weil besser zu verwalten.

 

Me, myself and I

 

Ach je, Stefan Kanthak ... lange nichts von gehört ...

 

Gruß, Nils

[Sunny61 833]

da wären GPO aber vorzuziehen, weil besser zu verwalten.

 

Ja, schon klar. Ich wollte es auch nur als Idee in die Diskussion werfen.

 

Ach je, Stefan Kanthak ... lange nichts von gehört ...

 

Hast Du auch nichts verpasst, der Ton hat sich nicht verändert. ;)