von Flaxel » 08.02.2018, 00:21
Das liegt natürlich nahe, kommt in unserem Fall aber nicht in Frage. Der überwiegende Teil der über 50 Rechner des Vereins dient der Schulung von zu 90% unbedarften, absoluten Neulingen im Umgang mit Rechnern aller Art. Die Mehrheit kommt dem gemeinen Bild vom DAU recht nahe. Das ist nicht böse gemeint, denn unsere Mitglieder sind alle 65+ und viele hatten wahrend ihres bisherigen beruflichen Lebens keinerlei wirklichen Kontakt mit Rechnern, es sei denn in der Anwendung spezifischer Programme mit Hotline zur IT-Truppe der Firma. Laut Statistik sind das rund 50% dieser Bevölkerungsgruppe.
moinmoin hat geschrieben: 07.02.2018, 12:12
Keine Ahnung wer bei euch Zugriff haben muss, daher nur als Denkanstoß gedacht.
Wie gesagt, es sind überwiegend Schulungsrechner, also kommt im Grund jeder ran - aber mit eingeschränkten Rechten. Kursleiter gehen mit ebenso wenig Möglichkeiten ins Rennen und erhalten, bei Bedarf, für begrenzte Zeit Sonderrechte.
Vollen Zugriff haben die Admins, in diesem Raum genau einer. Generell werden derzeit unsere PC "zu Fuß" und einzeln gepflegt. Für jeden Raum gibt es einen Verantwortlichen. Es gibt keine "Heimnetzgruppe", lediglich einen Fileserver für Vollsicherungen spezifischer Rechnerkonfigurationen. Für die Benutzer sollen sich die Maschinen vergleichbar zu ihren heimischen Gerätschaften verhalten. Ausnahme: keine Installationen, "gehärtete Browser" und Abschalten möglichst aller Neigungen des betriebssystems, alle Vorgänge an "Mama" zu berichten, d.h. ausschließlich lokale Konten, also keine Cloud, kein Cortane (Ausnahme: die Rechner für Sehschwache und Blinde) und Abschalten (fast) aller Telemetrie.
Sensible Daten werden bei uns in diesem Netzsegment nicht verwaltet. USB-Anschlüsse dienen den Kursteilnehmern bei Bedarf Unterrichts- oder Übungsmaterialien zu überspielen und könnten bisher tatsächlich, zumindest nach meiner Einschätzung, relativ einfach umgangen werden.
In einigen Räumen, so auch in dem betroffenen, tauschen sich fortgeschrittenere User zu spezifischen Themen, wie z.B. Bildbearbeitung oder auch Videoschnitt aus. Auch hier spielen Daten zwar keine Rolle, der Grund meiner Unruhe ist hier die Neigung einiger Mitglieder dieser Nutzergemeinde, sich aus allen möglichen Quellen mit tendenziell verseuchter Freeware einzudecken und diese abseits ihrer privaten Maschinen auszuprobieren. Das könnte mit den richtigen Würmern im Gepäck bei uns zwar die Unterrichtsrechner lahmlegen, über infizierte Sticks bei Mitgliedern aber zu nachhaltigen Schäden führen.
Diejenigen, denen ich im Wesentlichen zutraue zu wissen was sie tun, sind ehrenamtlich und engagiert dabei und werden sich durch Aktionen dieser Art das Leben nicht selbst schwer machen. Natürlich mag es einen verdeckten Champion geben, der genug Wissen hat, um mal zu probieren was irgendwo geschrieben stand. An einen solchen Fall glaube ich hier. Es soll ja auch geniale Idioten geben (postuliert auch eine Ableitung von Murphy's Law) aber zwei Rechner in zwei Wochen sind kein genialer Zufall.
Piranha hat geschrieben: 07.02.2018, 18:40
Eventuell ist TPM bei dir die leichteste, schnellste und effizienteste Loesung.
Wir haben derzeit noch keine Client/Server-Umgebung (die ist in den Startlöchern), haben aber als von Freiwilligkeit getragener gemeinnütziger Verein keinen Großsponsor, leben also von der Hand in den Mund. Ich fürchte daher, dein Vorschlag, ein Trusted Platform Module einzusetzen, übersteigt unsere finanziellen Möglichkeiten und wäre wohl auch übertrieben. Wenn jemand einen Rechner platt macht, bereitet das uns zwar Arbeit, tötet aber nicht den Betrieb. Es gibt auch keine Daten, die die Benutzer nicht temporär selbst aufgespielt hätten und an die sie nicht ohnehin herankommen.
Ich werde mich erst einmal mit ein paar Mitstreitern daran machen, eine von mir erkannte Lücke zu schließen, was einen unerwünschten Zugriff zumindest deutlich erschweren sollte. Es ist wie beim Einbruch in Wohnungen, was länger dauert als x Minuten wird aufgegeben. Zu holen ist bei uns ohnehin nichts.
[quote=moinmoin post_id=308053 time=1518001978 user_id=188]
Da offiziell antworte ich mal hier.
Wie wäre es damit https://www.tech-faq.net/zugriff-auf-usb-sticks-sperren/
[/quote]
Das liegt natürlich nahe, kommt in unserem Fall aber nicht in Frage. Der überwiegende Teil der über 50 Rechner des Vereins dient der Schulung von zu 90% unbedarften, absoluten Neulingen im Umgang mit Rechnern aller Art. Die Mehrheit kommt dem gemeinen Bild vom DAU recht nahe. Das ist nicht böse gemeint, denn unsere Mitglieder sind alle 65+ und viele hatten wahrend ihres bisherigen beruflichen Lebens keinerlei wirklichen Kontakt mit Rechnern, es sei denn in der Anwendung spezifischer Programme mit Hotline zur IT-Truppe der Firma. Laut Statistik sind das rund 50% dieser Bevölkerungsgruppe.
[quote=moinmoin post_id=308053 time=1518001978 user_id=188]
Keine Ahnung wer bei euch Zugriff haben muss, daher nur als Denkanstoß gedacht.
[/quote]
Wie gesagt, es sind überwiegend Schulungsrechner, also kommt im Grund jeder ran - aber mit eingeschränkten Rechten. Kursleiter gehen mit ebenso wenig Möglichkeiten ins Rennen und erhalten, bei Bedarf, für begrenzte Zeit Sonderrechte.
Vollen Zugriff haben die Admins, in diesem Raum genau einer. Generell werden derzeit unsere PC "zu Fuß" und einzeln gepflegt. Für jeden Raum gibt es einen Verantwortlichen. Es gibt keine "Heimnetzgruppe", lediglich einen Fileserver für Vollsicherungen spezifischer Rechnerkonfigurationen. Für die Benutzer sollen sich die Maschinen vergleichbar zu ihren heimischen Gerätschaften verhalten. Ausnahme: keine Installationen, "gehärtete Browser" und Abschalten möglichst aller Neigungen des betriebssystems, alle Vorgänge an "Mama" zu berichten, d.h. ausschließlich lokale Konten, also keine Cloud, kein Cortane (Ausnahme: die Rechner für Sehschwache und Blinde) und Abschalten (fast) aller Telemetrie.
Sensible Daten werden bei uns in diesem Netzsegment nicht verwaltet. USB-Anschlüsse dienen den Kursteilnehmern bei Bedarf Unterrichts- oder Übungsmaterialien zu überspielen und könnten bisher tatsächlich, zumindest nach meiner Einschätzung, relativ einfach umgangen werden.
In einigen Räumen, so auch in dem betroffenen, tauschen sich fortgeschrittenere User zu spezifischen Themen, wie z.B. Bildbearbeitung oder auch Videoschnitt aus. Auch hier spielen Daten zwar keine Rolle, der Grund meiner Unruhe ist hier die Neigung einiger Mitglieder dieser Nutzergemeinde, sich aus allen möglichen Quellen mit tendenziell verseuchter Freeware einzudecken und diese abseits ihrer privaten Maschinen auszuprobieren. Das könnte mit den richtigen Würmern im Gepäck bei uns zwar die Unterrichtsrechner lahmlegen, über infizierte Sticks bei Mitgliedern aber zu nachhaltigen Schäden führen.
Diejenigen, denen ich im Wesentlichen zutraue zu wissen was sie tun, sind ehrenamtlich und engagiert dabei und werden sich durch Aktionen dieser Art das Leben nicht selbst schwer machen. Natürlich mag es einen verdeckten Champion geben, der genug Wissen hat, um mal zu probieren was irgendwo geschrieben stand. An einen solchen Fall glaube ich hier. Es soll ja auch geniale Idioten geben (postuliert auch eine Ableitung von Murphy's Law) aber zwei Rechner in zwei Wochen sind kein genialer Zufall.
[quote=Piranha post_id=308061 time=1518025256 user_id=38643]
Eventuell ist TPM bei dir die leichteste, schnellste und effizienteste Loesung.
[/quote]
Wir haben derzeit noch keine Client/Server-Umgebung (die ist in den Startlöchern), haben aber als von Freiwilligkeit getragener gemeinnütziger Verein keinen Großsponsor, leben also von der Hand in den Mund. Ich fürchte daher, dein Vorschlag, ein Trusted Platform Module einzusetzen, übersteigt unsere finanziellen Möglichkeiten und wäre wohl auch übertrieben. Wenn jemand einen Rechner platt macht, bereitet das uns zwar Arbeit, tötet aber nicht den Betrieb. Es gibt auch keine Daten, die die Benutzer nicht temporär selbst aufgespielt hätten und an die sie nicht ohnehin herankommen.
Ich werde mich erst einmal mit ein paar Mitstreitern daran machen, eine von mir erkannte Lücke zu schließen, was einen unerwünschten Zugriff zumindest deutlich erschweren sollte. Es ist wie beim Einbruch in Wohnungen, was länger dauert als x Minuten wird aufgegeben. Zu holen ist bei uns ohnehin nichts.
