Physischer oder Softwareschutz

[NeoKim]

Hi,

also Ich arbeite im mom in einer Berufsschule und es wurden Räume komplett neu eingerichtet.

Nun stellt sich die Frage wie man die aufgesetzten Desktops vor Veränderungen schützt ?

Was würdet Ihr empfehlen ein Physischer Schutz in Form von Rebornkarten oder ähnliches oder ne Softwarelösung ??

Wenns geht Vorschläge mit Preisen und Erfahrungen bitte

Mit freundlichen Grüssen

NeoKim

[flashpixx]

Hallo,

es kommt darauf an würde ich sagen. Wenn ich eine Domäne habe, dann kann ich über Gruppenrichtlinien auch entsprechende Sicherheiten erzwingen.

Vielleicht wäre noch interessant zu wissen welche / welches OS eingesetzt wird, welche Netzwerkstruktur existiert und welche Usergruppen arbeiten mit den Systemen.

Ich denke dass ein entsprechendes Reglement via Domänencontroller günstiger wie eine Hardwarekontrolle ist. Zusätzlich ist natürlich noch die Anzahl der Arbeitsplätze zu berücksichtigen und die damit verbundenen Kosten. Außerdem gehe ich von gleichen Workstations aus, wovon ich dann nach der Installation ein Image bilden kann, was ich via PXE booten kann, wenn ein Rechner neu gemacht werden muss

HTH Phil

[NeoKim]

hi,

also eingesetzt ist Windows XP Pro Sp3.

Netzwerkstruktur: Jeder Raum hat seinen eigen IP-Bereich. Arbeitsgruppe ist immer die Raumnummer

Insgesamt sind es 15 Räume mit jeweils ca. 20 -25 Rechnern.

Ja ne Terminalserverlösung war auch schon in Betrieb (Jeder Raum hatte seinen eigenen Terminalserver, war alles ziemlich kompliziert, aber da die Schule günstig an 50 P4@ 3 GHZ, 2Gb Ram und 40 GB Platte kam. Wurden die sehr alten Rechner die als Clients gedient haben geschrottet, ausserdem kamen die Lehrer mit dem System eines Terminalservers nicht klar. ^^

Daher besteht die Verwaltung auf normale Desktops, will die Systeme aber trotzdem sichern. Und da die Anschaffung einer neuen Antiviruslizenz auch ansteht war die Überlegung diese nicht anzuschaffen und auf so ein System umzusteigen, da dann die Rechner auch geschützt wären.

Habe auch bisher zwei Lösungen gefunden die Extra für Schulen entwickelt wurden.

Hardwarelösung: Dr. Kaisers PC-Wächter. Preis: 75€ Pro Desktop

Softwarelösung: HDGuard Preis: 18€ Pro Arbeitsplatz

Die Lösungen sind extra für Schulen bzw. Seminar und Schulungsräume entwickelt worden und haben auch einige Gimmicks für die Lehrer.

Nun ist die Frage was besser geeignet ist. Ich befürchte das die Softwarelösung evtl. doch von einigen findigen Schülern ausgehebelt werden kann und wenn sowas erstma bekannt wird und bei den Schülern auf dem Pausenhof rotiert ist der Schutzfaktor gleich null.

Eine Image-Lösung ist auch nicht sehr sinnvoll da ja auch laufend andere Software dazu installiert werden muss.

Beide Lösungen sollten exakt dasselbe können. ich denke hier wird nur der Preis entscheiden.

Hat jemand noch nen anderen Vorschlag der sich mit dem Betriebssystem kostengünstig realisieren lässt ???

Die Gimmicks für die Lehrer sind hierbei zu vernachlässigen nur der Schutz ist wichtig damit unsere IT-Abteilung nicht alle 4 Wochen jeden Raum neu aufsetzen kann.

MFG

[baba007]

Nun ist die Frage was besser geeignet ist. Ich befürchte das die Softwarelösung evtl. doch von einigen findigen Schülern ausgehebelt werden kann und wenn sowas erstma bekannt wird und bei den Schülern auf dem Pausenhof rotiert ist der Schutzfaktor gleich null.

Eine Image-Lösung ist auch nicht sehr sinnvoll da ja auch laufend andere Software dazu installiert werden muss.

Jeder seinen eigenen Login, installation nur auf dem eigenen H: Laufwerk. Findiger schüler hin oder her. Wenn man weiß wer *******e baut, der wird gleich verbannt. Vorher nochmal die konsequenzen unterschreiben lassen.

Imagelösung und Installationerlaubnis beissen sich. Was sollen die Schüler installieren was man vorher nicht auf die Platte hauen kann?

[flashpixx]

Ich schließe mich da dem Vorredner an, da ich auch den Eindruck habe, dass hier das Konzept nicht vollständig ist.

Installation vs. Sicherheit sind hier gegensätzlich. Egal welche Lösung zum Schutz präferiert wird, sobald jemand am System etwas verändern kann, ist die Sicherheitslücke da. Durch eine Hardwarelösung ist noch nicht zwingend Sicherheit gewährleistet z.B. BIOS Manipulation oder auch Booten von externen Medien usw.

Bitte vielleicht noch einmal das Konzept überdenken. Ich denke eine passende Netzstruktur im AD inkl Gruppen- / Benutzerkonzept und passend ausgewählte Richtlinien wird den normalen User von allem abhalten können. Softwareverteilung z.B. via WSUS und entsprechende Abbilder für eine mögliche Neuinstallation falls einmal ein Rechner streikt.

Phil

[Wodar Hospur]

Wir haben bei einer Schule die PC Wächter Karten im Einsatz und sind sehr zufrieden. Während des Schuljahres haben wir nur wegen defekter Hardware auszurücken müssen. Dazu ein entsprechend striktes BIOS + PW Schutz, falls die Schüler den Computer sonst irgendwie manipulieren fällt es viel eher auf als wenn die Lehrerin vorne sitzt und nur erklärt.

Der Nachteil ist jedoch die fehlende Softwareverteilung, so muss jeder Client für das Klonen angepackt und bearbeitet werden, wenn in den Ferien wieder neue Software und Updates verfügbar ist.

Die Software Lösung hatten wir auf Notebooks laufen und es funktioniert hat aber scheinbar doch paar Tücken, vorallem wenn es darum geht gleichartige Geräte zu klonen, dabei gehen wohl die Schutzeinstellungen wieder verloren.

Zur Grundsatzdiskussion, es hilft immer die Hürde für ein mögliches Manipulieren recht hochzulegen. Dadurch werden 99% der sonst möglichen und vielleicht nicht immer nachvollziehbaren Angriffe ausgemerzt. Das letzte Prozent ist so schwierig das entsprechendes Manipulieren aufzeigbar und eindeutig zugeordnet werden kann. Mögliche Windowsregeln können dabei ähnlichen Erfolg haben sind jedoch bei weitem nicht so transparent und eingängig. Bei Windows ist erstmal alles erlaubt was nicht verboten ist, dementsprechend sich durch alle Richtlinien durchzuarbeiten kann sehr viel Zeit und Geld in Anspruch nehmen.

Bearbeitet 19. August 2008 von Wodar Hospur

[hades]

20-25 PCs pro Raum? 15 Raeume?

Also max. 375 PC mit mehreren Arbeitsgruppen verwalten?

Ich glaube nicht, dass Du es damit einfacher als vorher haben wirst.

Ganz im Gegenteil.

Bei so einer Menge solltest Du dringend ueber eine zentrale Struktur nachdenken, die aber eine Trennung nach Raeumen ermoeglicht.

Was ist, wenn eine Klasse einen anderen Raum als vorgesehen nimmt bzw. muss?

Traegst Du dann die PCs in den anderen Raum (weil die Benutzer auf diesen PCs drauf sind) und konfigurierst diese auf das Subnetz um (weil im anderen Raum ein anderes Netz ist)?

Zentralisierte Infrastrukturdienste erleichtern Dir hier erheblich die Arbeit.

Ein zentrale Benutzerverwaltung erleichtert Dir bei der Menge den administrativen Aufwand.

Denn Arbeitsgruppen sind nur bis max. 10 PCs sinnvoll.

Die Trennung mit separaten Subnetzen pro Raum ist eine starre Trennung, die erheblichen Mehraufwand bei Veraenderungen bedeutet.

Besser waeren hier (portbasierte) VLANs, die dann ggfl. auch aus der Ferne schnell geaendert werden koennen.

BIOS-Kennwoerter und -Einstellungen sind kein Hindernis solange die PC-Gehaeuse nicht durch (richtige) Schloesser gesichert werden koennen.

Software oder Hardware zum Schuetzen der Konfiguration?

Wozu dieser Mehraufwand, wenn Du mit zentral steuerbaren Richtlinien dieses genauso erreichen koenntest?

Bearbeitet 19. August 2008 von hades

[Wodar Hospur]

20-25 PCs pro Raum? 15 Raeume?

Also max. 375 PC mit mehreren Arbeitsgruppen verwalten?

Ich glaube nicht, dass Du es damit einfacher als vorher haben wirst.

Ganz im Gegenteil.

Bei so einer Menge solltest Du dringend ueber eine zentrale Struktur nachdenken, die aber eine Trennung nach Raeumen ermoeglicht.

Was ist, wenn eine Klasse einen anderen Raum als vorgesehen nimmt bzw. muss?

Traegst Du dann die PCs in den anderen Raum (weil die Benutzer auf diesen PCs drauf sind) und konfigurierst diese auf das Subnetz um (weil im anderen Raum ein anderes Netz ist)?

Zentralisierte Infrastrukturdienste erleichtern Dir hier erheblich die Arbeit.

Ein zentrale Benutzerverwaltung erleichtert Dir bei der Menge den administrativen Aufwand.

Denn Arbeitsgruppen sind nur bis max. 10 PCs sinnvoll.

Das eine zentrale Datenablage und Anmeldedienst vorhanden sein muss ist klar, hat jedoch in meinen Augen nichts mit dem Anfang zu tun?

Die Trennung mit separaten Subnetzen pro Raum ist eine starre Trennung, die erheblichen Mehraufwand bei Veraenderungen bedeutet.

Besser waeren hier (portbasierte) VLANs, die dann ggfl. auch aus der Ferne schnell geaendert werden koennen.

separate Subnetze haben den Vorteil einer vernünftigen Proxy und Firewall Reglementierung, bei uns per Script genutzt. VLANs ermöglichen vielleicht eine physikalische Aufteilung, jedoch sollte auch eine logische erfolgen. Vorallem aus der Ferne muss bei solchen Dinge wohl sehr selten was geändert werden.

BIOS-Kennwoerter und -Einstellungen sind kein Hindernis solange die PC-Gehaeuse nicht durch (richtige) Schloesser gesichert werden koennen.

Software oder Hardware zum Schuetzen der Konfiguration?

Wozu dieser Mehraufwand, wenn Du mit zentral steuerbaren Richtlinien dieses genauso erreichen koenntest?

Doch sind ein Hindernis, denn ich kenne KEINEN Schüler der es sich traut wenn eine Lehrperson anwesend ist den Rechner abzuschließen, und aufzuschrauben. Das die Schreibtische extra Computereinschübe haben ist dennoch ganz hilfreich. Da Schüler außerdem ständig beaufsichtigt werden müssen, seien es Labore oder halt EDV Räume denke ich du unterschätzt die Wirkung.

Es ist, falls du den Aufwand vergleichst erheblich weniger Arbeit und dabei dennoch zuverlässiger. Du musst nicht das komplette System absichern + Virenscanner und Angst um Zero Day Expolits haben. Selbst wenn der Schüler es schafft grundlegende Änderungen durch einen Konfigurationsfehler durchzuführen sind diese ja nur bis zum nächsten Neustart gültig. So kann jeder Schüler in einer für ihn sicheren Umgebung arbeiten.

Außerdem ist das richtige Absichern von Windows Systemen wohl immernoch eine Tätigkeit die unterschätzt wird. Was hindert denn einen User davon einen Schädling herunterzuladen, bzw. per E-Mail zu bekommen? Egal ob eingeschränkte Userrechte oder nicht und Whitelists aktuell zuhalten ist einfach ein kaum zu überwindendes Hindernis.