Problem USB-Viren
Rudolf Harras
Problem darstellen da man nicht beeinflussen kann wo Leute ihren
USB-Stick sonst noch ï¿œberall anstecken.
Weiters ist es zB bei Konferenzen ja ï¿œblich dass viele herkommen und ihr
Datenmaterial per USB auf den Prï¿œsentationscomputer raufspielen.
Daher die Frage:
Bietet es zumindest 100%igen Schutz am eigenen Computer wenn man:
1. Autostart deaktiviert
2. mit einem Account ohne Administratorrechten arbeitet
Wï¿œrde eine dieser beiden Maï¿œnahmen schon ausreichen oder gibt es bereits
Viren wo auch das nicht hilft?
Juergen P. Meier
> Bietet es zumindest 100%igen Schutz am eigenen Computer wenn man:
Nein.
Rudolf Harras
>> Bietet es zumindest 100%igen Schutz am eigenen Computer wenn man:
>
>Nein.
Ok was würdest Du machen?
Jens Hektor
> Juergen P. Meier schrieb:
>
>>> Bietet es zumindest 100%igen Schutz am eigenen Computer wenn man:
>>
>> Nein.
>
Leute aufkl�ren.
Eigene USB-Sticks nach "Fremdkontakt" erst mal an einem Linux ansehen.
Fremde USB-Sticks dito.
Merke: Copyshops sind so was wie "Swingerclubs".
Und U3-Sticks will man gar nicht.
Juergen P. Meier
> Juergen P. Meier schrieb:
>
>>> Bietet es zumindest 100%igen Schutz am eigenen Computer wenn man:
>>
>>Nein.
>
1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche um
99.98% verkleinern), sondern OS X oder Linux.
2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen,
nach jeder Praesentation fremder Daten das System loeschen und das
Image zurueckspielen (eliminiert das Rest-risiko von 0.02%).
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Helmut Hullen
Du meintest am 16.10.09:
>>>> Bietet es zumindest 100%igen Schutz am eigenen Computer wenn man:
>>> Nein.
>> Ok was w�rdest Du machen?
> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche um
> 99.98% verkleinern), sondern OS X oder Linux.
Prima.
Wie erkl�re ich das meinen vielen Kollegen, die bisher weder OS X noch
Linux verwenden, aber einiges auf ihrem heimischen Rechner vorbereiten?
> 2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen,
> nach jeder Praesentation fremder Daten das System loeschen und das
> Image zurueckspielen (eliminiert das Rest-risiko von 0.02%).
Prima.
Darf ich f�r die dabei n�tige Arbeit auf Dich zugreifen? In Schulen
f�llt dieser Job recht oft an, da geh�ren Pr�sentationen o.�, inzwischen
faktisch mit zum Unterricht.
Ok - da gibt es z.B. "PC-W�chter" oder "selbstheilende Netze" (Rembo/
SHN). Die wirken aber erst beim Neustart, nicht bereits w�hrend der
Pr�sentation.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 16.10.09:
>>>> Bietet es zumindest 100%igen Schutz am eigenen Computer wenn man:
>>> Nein.
>> Ok was w�rdest Du machen?
> Leute aufkl�ren.
Prima. Da fallen mir gleich einige Schulen in der Nachbarschaft ein,
jeweils 100 bis 200 Rechner, 500 bis 1500 "Leute".
Darf ich auf Dich zukommen, wenn es um "Aufkl�rung" geht? Danke!
> Eigene USB-Sticks nach "Fremdkontakt" erst mal an einem Linux
> ansehen.
> Fremde USB-Sticks dito.
s.o. - darf ich dabei auf Deine t�tige Hilfe setzen?
> Und U3-Sticks will man gar nicht.
s.o. - was schl�gst Du vor, um das Anst�pseln dieser Sticks zu
unterbinden?
Viele Gruesse!
Helmut
David Dahlberg
>> 2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen, nach
>> jeder Praesentation fremder Daten das System loeschen und das Image
>> zurueckspielen (eliminiert das Rest-risiko von 0.02%).
>
> Prima.
> Darf ich für die dabei nötige Arbeit auf Dich zugreifen? In Schulen
> fällt dieser Job recht oft an, da gehören Präsentationen o.ä, inzwischen
> faktisch mit zum Unterricht.
Du musst das System nur einmal aufsetzen. Die Images zurückzuspielen ist
nicht viel Aufwand. Die Frage ist: Willst du ein /sicheres/ Setup, oder
eins von dem Du hoffst, dass es /sicher genug/ ist?
-dd
Helmut Hullen
Du meintest am 16.10.09:
>>> 2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen,
>>> nach jeder Praesentation fremder Daten das System loeschen und das
>>> Image zurueckspielen (eliminiert das Rest-risiko von 0.02%).
>> Prima.
>> Darf ich f�r die dabei n�tige Arbeit auf Dich zugreifen? In Schulen
>> f�llt dieser Job recht oft an, da geh�ren Pr�sentationen o.�,
>> inzwischen faktisch mit zum Unterricht.
> Du musst das System nur einmal aufsetzen. Die Images zur�ckzuspielen
> ist nicht viel Aufwand.
Wie ich unl�ngst erw�hnte: damit wird nur beim n�chsten Neustart ein
definierter Zustand wiederhergestellt; im laufenden Betrieb kann der
USB-Stick viel Unheil anrichten.
> Die Frage ist: Willst du ein /sicheres/
> Setup, oder eins von dem Du hoffst, dass es /sicher genug/ ist?
Das ist keine sinnvolle Frage.
Niemand kann mir (einklagbar) garantieren, dass das von ihm
eingerichtete System unter allen Umst�nden sicher ist. Irgendwann landen
wir alle im Abschnitt "Hoffen und Beten".
Viele Gruesse!
Helmut
Harald Hengel
> Du musst das System nur einmal aufsetzen. Die Images
> zurückzuspielen ist nicht viel Aufwand. Die Frage ist: Willst du
> ein /sicheres/ Setup, oder eins von dem Du hoffst, dass es /sicher
> genug/ ist?
Interessanter Ansatz.
Wo bleiben denn da die veränderten Daten?
Merkbefreit?
Harald
Harald Hengel
> s.o. - was schl�gst Du vor, um das Anst�pseln dieser Sticks zu
> unterbinden?
Heisskleber. ;-)
Harald
Rudolf Harras
> Prima. Da fallen mir gleich einige Schulen in der Nachbarschaft ein,
> jeweils 100 bis 200 Rechner, 500 bis 1500 "Leute".
>
> Darf ich auf Dich zukommen, wenn es um "Aufklï¿œrung" geht? Danke!
lol... Mama, da USB-Jehova is wieder daaa!
Rudolf Harras
> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche um
> 99.98% verkleinern), sondern OS X oder Linux.
Das ist natï¿œrlich schwer wenn 99,98% der Leute ihre Prï¿œsentationen mit
Powerpoint fï¿œr Windows machen...
> 2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen,
> nach jeder Praesentation fremder Daten das System loeschen und das
> Image zurueckspielen (eliminiert das Rest-risiko von 0.02%).
Ja so wird das eh gemacht, dann tauschen wenigstens nur die Teilnehmer
die Viren aus. ;)
Carsten Krueger
> Ok was w�rdest Du machen?
Software Restriction Policies aktivieren und System aktuell patchen.
Gru� Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.temporaryinbox.com/ - Antispam
cakruege (at) gmail (dot) com | http://www.geocities.com/mungfaq/
Jens Hektor
> Prima. Da fallen mir gleich einige Schulen in der Nachbarschaft ein,
> jeweils 100 bis 200 Rechner, 500 bis 1500 "Leute".
Nun ja, ich bin an einer *Hoch*schule. So ca. 30k Leute.
> Darf ich auf Dich zukommen, wenn es um "Aufkl�rung" geht? Danke!
Done:
http://www.google.de/search?q=rwth+usb-stick
>> Eigene USB-Sticks nach "Fremdkontakt" erst mal an einem Linux
>> ansehen.
>
>> Fremde USB-Sticks dito.
>
> s.o. - darf ich dabei auf Deine t�tige Hilfe setzen?
Du bist falsch hier.
>> Und U3-Sticks will man gar nicht.
>
> s.o. - was schl�gst Du vor, um das Anst�pseln dieser Sticks zu
> unterbinden?
S. Punkt 1 und 2.
Manoman.
Juergen Ilse
Helmut Hullen <hel...@hullen.de> wrote:
>>> Ok was würdest Du machen?
>> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche um
>> 99.98% verkleinern), sondern OS X oder Linux.
> Prima.
> Wie erkläre ich das meinen vielen Kollegen, die bisher weder OS X noch
> Linux verwenden, aber einiges auf ihrem heimischen Rechner vorbereiten?
Unterstuetzte Formate fuer Praesentationen: OpenDocument und PDF (und
dafuer steht die passende Software auch auf diesen Systemen zur Ver-
fuegung). Wer anderes verwenden will, soll den Rechner dafuer selbst
mitbringen (wobei der Rechner dann aber nicht ans Netz angeschlossen
werden darf, schliesslich koennte er das Schulnetz kompromittieren).
Problem geloest (das starten der Praesentationssoftware kann dann auch
der hoffentlich kundige Lehrer uebernehmen, wenn der Schueler sich damit
ueberfordert fuehlt). Die Software zum erstellen solcher Praesentationen
(OpenOffice z.B.) kann und soll auch frei an interessierte Schueler und
Lehrer verteilt werden.
>> 2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen,
>> nach jeder Praesentation fremder Daten das System loeschen und das
>> Image zurueckspielen (eliminiert das Rest-risiko von 0.02%).
> Prima.
> Darf ich für die dabei nötige Arbeit auf Dich zugreifen? In Schulen
> fällt dieser Job recht oft an, da gehören Präsentationen o.ä, inzwischen
> faktisch mit zum Unterricht.
Das laesst sich automatisieren.
> Ok - da gibt es z.B. "PC-Wächter" oder "selbstheilende Netze" (Rembo/
> SHN). Die wirken aber erst beim Neustart, nicht bereits während der
> Präsentation.
Warum kann man nach einer solchen Praesentation denn nicht per Default
rebooten?
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Juergen Ilse
Rudolf Harras <rud...@temporaryforwarding.com> wrote:
> Juergen P. Meier schrieb:
>> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche um
>> 99.98% verkleinern), sondern OS X oder Linux.
> Das ist natürlich schwer wenn 99,98% der Leute ihre Präsentationen mit
> Powerpoint für Windows machen...
Wenn sie sie auf Schulrechnern abspielen wollen, muessen sie sie eben
in einem Format erstellen, dass dort abgespielt werden kann. Wenn sie
sich dazu nicht in der Lage sehen, haben sie eben Pech gehabt.
Ja, so etwas koennte man durchsetzen, wenn man es denn wollte. Es fehlt
aber manchmal am Willen, solche bei manchen eher unpopulaere Massnahmen
aus Gruenden der Sicherheit umzusetzen ...
>> 2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen,
>> nach jeder Praesentation fremder Daten das System loeschen und das
>> Image zurueckspielen (eliminiert das Rest-risiko von 0.02%).
> Ja so wird das eh gemacht, dann tauschen wenigstens nur die Teilnehmer
> die Viren aus. ;)
Waehrend der "Femdpraesentation" ist der Rechner nicht mit anderen
Schulsystemen vernetzt, bevor nicht das saubere Image zurueckgespielt
ist ... Klingt einfach? Ist es auch, wenn man denn erst einmal die
Konsequenz aufbringt, soetwas wirklich umzusetzen ...
Rudolf Harras
>Wenn sie sie auf Schulrechnern abspielen wollen, muessen sie sie eben
>in einem Format erstellen, dass dort abgespielt werden kann. Wenn sie
>sich dazu nicht in der Lage sehen, haben sie eben Pech gehabt.
Es geht aber nicht um die Schule, sondern um die harte Geschäftswelt in
der man sich nicht immer leisten kann seinen Kunden irgenwas aus
Idealismus vorzuschreiben.
Unterstützt Linux diesen Logitech Presenter überhaupt ohne daß man sich
da lang herumspielen muß?
Juergen Ilse
Rudolf Harras <rud...@temporaryforwarding.com> wrote:
> Juergen Ilse schrieb:
>>Wenn sie sie auf Schulrechnern abspielen wollen, muessen sie sie eben
>>in einem Format erstellen, dass dort abgespielt werden kann. Wenn sie
>>sich dazu nicht in der Lage sehen, haben sie eben Pech gehabt.
> Es geht aber nicht um die Schule, sondern um die harte Geschäftswelt in
> der man sich nicht immer leisten kann seinen Kunden irgenwas aus
> Idealismus vorzuschreiben.
Ich kenne es da eigentlich eher so, dass "betriebsfremdes Personal" dass
Praesentationen vorfuehren moechte, einen eigenen Laptop fuer die Praesen-
tation dabei hat. Betriebseigenem Personal kann man i.d.R schon vorschrei-
ben, in welchem Format eine Praesentation zu praesentieren hat.
> Unterstützt Linux diesen Logitech Presenter überhaupt ohne daß man sich
> da lang herumspielen muß?
Vermutlich ja, aber es waere mir neu, dass man ein solches Geraet zwingend
zum vorfuehren einer Praesentation braeuchte ...
Juergen P. Meier
> Juergen P. Meier schrieb:
>
>> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche um
>> 99.98% verkleinern), sondern OS X oder Linux.
>
> Das ist natï¿œrlich schwer wenn 99,98% der Leute ihre Prï¿œsentationen mit
> Powerpoint fï¿œr Windows machen...
Nur fuer Unwissende.
Alle anderen verwenden Microsoft Powerpoint oder wenns nix kosten soll
den Powerpoint Viewer oder zur Not OO (Linux: nur die letzten beiden
Optionen).
>> 2.) Ein dediziertes System aufsetzen, ein Image desselben anlegen,
>> nach jeder Praesentation fremder Daten das System loeschen und das
>> Image zurueckspielen (eliminiert das Rest-risiko von 0.02%).
>
> Ja so wird das eh gemacht, dann tauschen wenigstens nur die Teilnehmer
> die Viren aus. ;)
Was dich u.U. in rechtliche Schwierigkeiten bringen kann, wenn du
der Computersabotage wissentlich und willentlich vortrieb leistest.
Lass dir lieber Verzichtserklaerungen unterschreiben vorher.
Ralph Lehmann
> Juergen Ilse schrieb:
>
>>Wenn sie sie auf Schulrechnern abspielen wollen, muessen sie sie eben
>>in einem Format erstellen, dass dort abgespielt werden kann. Wenn sie
>>sich dazu nicht in der Lage sehen, haben sie eben Pech gehabt.
>
> der man sich nicht immer leisten kann seinen Kunden irgenwas aus
> Idealismus vorzuschreiben.
Das ist hier per Definition OffT. ;-)
ciao Ralph
Helmut Hullen
Du meintest am 17.10.09:
>> Wenn sie sie auf Schulrechnern abspielen wollen, muessen sie sie
>> eben in einem Format erstellen, dass dort abgespielt werden kann.
>> Wenn sie sich dazu nicht in der Lage sehen, haben sie eben Pech
>> gehabt.
> Es geht aber nicht um die Schule, sondern um die harte Gesch�ftswelt
> in der man sich nicht immer leisten kann seinen Kunden irgenwas aus
> Idealismus vorzuschreiben.
Sorry - mir geht es um die Schule. Das ist eine viel h�rtere Welt.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 17.10.09:
>>> Wenn sie sie auf Schulrechnern abspielen wollen, muessen sie sie
>>> eben in einem Format erstellen, dass dort abgespielt werden kann.
>>> Wenn sie sich dazu nicht in der Lage sehen, haben sie eben Pech
>>> gehabt.
>> Es geht aber nicht um die Schule, sondern um die harte Gesch�ftswelt
>> in der man sich nicht immer leisten kann seinen Kunden irgenwas aus
>> Idealismus vorzuschreiben.
> Ich kenne es da eigentlich eher so, dass "betriebsfremdes Personal"
> dass Praesentationen vorfuehren moechte, einen eigenen Laptop fuer
> die Praesen- tation dabei hat. Betriebseigenem Personal kann man
> i.d.R schon vorschrei- ben, in welchem Format eine Praesentation zu
> praesentieren hat.
In Schule nicht durchsetzbar. Insbesondere dann nicht, wenn solche
Pr�sentationen Teil des Unterrichts sind, wenn sie benotet werden.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 16.10.09:
>>>> Ok was w�rdest Du machen?
>>> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche
>>> um 99.98% verkleinern), sondern OS X oder Linux.
>> Prima.
>> Wie erkl�re ich das meinen vielen Kollegen, die bisher weder OS X
>> noch Linux verwenden, aber einiges auf ihrem heimischen Rechner
>> vorbereiten?
> Unterstuetzte Formate fuer Praesentationen: OpenDocument und PDF (und
> dafuer steht die passende Software auch auf diesen Systemen zur Ver-
> fuegung). Wer anderes verwenden will, soll den Rechner dafuer selbst
> mitbringen (wobei der Rechner dann aber nicht ans Netz angeschlossen
> werden darf, schliesslich koennte er das Schulnetz kompromittieren).
> Problem geloest (das starten der Praesentationssoftware kann dann
> auch der hoffentlich kundige Lehrer uebernehmen, wenn der Schueler
> sich damit ueberfordert fuehlt). Die Software zum erstellen solcher
> Praesentationen (OpenOffice z.B.) kann und soll auch frei an
> interessierte Schueler und Lehrer verteilt werden.
Sch�ner Traum. Ist faktisch nicht durchsetzbar.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 16.10.09:
>> Ok - da gibt es z.B. "PC-W�chter" oder "selbstheilende Netze"
>> (Rembo/ SHN). Die wirken aber erst beim Neustart, nicht bereits
>> w�hrend der Pr�sentation.
> Warum kann man nach einer solchen Praesentation denn nicht per
> Default rebooten?
Auch dann wirken sie nicht bereits w�hrend der Pr�sentation.
Viele Gruesse!
Helmut
Juergen Ilse
Helmut Hullen <hel...@hullen.de> wrote:
> Du meintest am 17.10.09:
>>> Wenn sie sie auf Schulrechnern abspielen wollen, muessen sie sie
>>> eben in einem Format erstellen, dass dort abgespielt werden kann.
>>> Wenn sie sich dazu nicht in der Lage sehen, haben sie eben Pech
>>> gehabt.
>> Es geht aber nicht um die Schule, sondern um die harte Geschäftswelt
>> in der man sich nicht immer leisten kann seinen Kunden irgenwas aus
>> Idealismus vorzuschreiben.
> Sorry - mir geht es um die Schule. Das ist eine viel härtere Welt.
Gerade in der Schule koennte man es sich doch leisten, OpenOffice frei
zu verteilen und Praesentationen in OpenDocument oder PDF zu fordern
(die sich damit problemlos erstellen lassen). Und zu dem "waehrend der
Praesentation koennten sich Schaedlinge ausbreiten": Wenn waehrend der
Praesentation die Netzwerkverbindund des Praesentationsrechners gekappt
wird (was man natuerlich auch ankuendigen sollte und die Schueler darauf
hinweisen sollte, dass sie ihre Praesentation auch "offline" testen sollten),
kann sich waehrend der Praesentation rein gar nichts ueber die Rechner-
grenzen hinaus ausbreiten.
Pascal B. Kreil
>Rudolf Harras <rud...@temporaryforwarding.com>:
>> Juergen P. Meier schrieb:
>>
>>> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche um
>>> 99.98% verkleinern), sondern OS X oder Linux.
>>
>> Das ist nat�rlich schwer wenn 99,98% der Leute ihre Pr�sentationen mit
>> Powerpoint f�r Windows machen...
>
>Nur fuer Unwissende.
Ja, aber ich sehe das Problem irgendwie nicht. Wenn *ich* in die
Situation kommen sollte, dass ich meine Pr�sentation an einem fremden
System halten soll, dann gibt es die tolle Erfindung des USB-Sticks
mit Schreibschutz. Dann kann nichts mehr vom Rechner direkt auf den
Stick kommen. Das kann man auch anderen Leuten vermitteln -- auch in
der Schule.
Maximal verseucht das dann den Pr�sentationsrechner und der muss ja
�berhaupt nicht im Netz h�ngen. Und weil das ein isoliertes System
ist, braucht es da wirklich wie schon gesagt nur ein Image, denn auch
Updates sind weniger wichtig.
Es t�te im Fall der Schule ja sogar ein einfaches Netbook. Mit der
unten genannten Software geht damit sogar unter Linux Powerpoint.
>Alle anderen verwenden Microsoft Powerpoint oder wenns nix kosten soll
>den Powerpoint Viewer oder zur Not OO (Linux: nur die letzten beiden
>Optionen).
Nicht ganz. <http://softmaker.de>. Wenn es um Kompatibilit�t zu
MS-Office geht, f�hrt daran kein Weg vorbei. Au�erdem auch komplett
vom USB-Stick lauff�hig.
>> Ja so wird das eh gemacht, dann tauschen wenigstens nur die Teilnehmer
>> die Viren aus. ;)
>
>Was dich u.U. in rechtliche Schwierigkeiten bringen kann, wenn du
>der Computersabotage wissentlich und willentlich vortrieb leistest.
Nur, wenn das andere auch gewerbliche Anwender sind. Privatnasen haben
keine wertvollen Daten... ;-)
>Lass dir lieber Verzichtserklaerungen unterschreiben vorher.
Das ist immer gut, aber k�nnte auch problematisch werden.
Bis denne,
Pascal
Helmut Hullen
Du meintest am 16.10.09:
>> Prima. Da fallen mir gleich einige Schulen in der Nachbarschaft ein,
>> jeweils 100 bis 200 Rechner, 500 bis 1500 "Leute".
> Nun ja, ich bin an einer *Hoch*schule. So ca. 30k Leute.
>> Darf ich auf Dich zukommen, wenn es um "Aufkl�rung" geht? Danke!
> Done:
> http://www.google.de/search?q=rwth+usb-stick
Liefert einige Treffer. Meinst Du das Rundschreiben 1/2009? Das l�sst
eher erahnen, dass USB-Sticks das LAN verseucht haben.
>>> Eigene USB-Sticks nach "Fremdkontakt" erst mal an einem Linux
>>> ansehen.
>>> Fremde USB-Sticks dito.
>> s.o. - darf ich dabei auf Deine t�tige Hilfe setzen?
> Du bist falsch hier.
Ich nehme gern die Hilfe von Kennern an.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 19.10.09:
>>>> 1.) Kein Wintendo fuer Praesentationen verwenden. (Angriffsflaeche
>>>> um 99.98% verkleinern), sondern OS X oder Linux.
>>> Das ist nat�rlich schwer wenn 99,98% der Leute ihre Pr�sentationen
>>> mit Powerpoint f�r Windows machen...
> Ja, aber ich sehe das Problem irgendwie nicht. Wenn *ich* in die
> Situation kommen sollte, dass ich meine Pr�sentation an einem fremden
> System halten soll, dann gibt es die tolle Erfindung des USB-Sticks
> mit Schreibschutz. Dann kann nichts mehr vom Rechner direkt auf den
> Stick kommen. Das kann man auch anderen Leuten vermitteln -- auch in
> der Schule.
Toll!
Allerdings ist mir als Betreuer eines (Schul-)LAN fast Wumpe, ob der
USB-Stick verseucht wird.
Mir w�re es allerdings nicht recht, wenn der USB-Stick das LAN
verseucht.
> Maximal verseucht das dann den Pr�sentationsrechner und der muss ja
> �berhaupt nicht im Netz h�ngen.
Da kann viel mehr als nur der Pr�sentationsrechner verseucht werden,
wenn der (aus anderen Gr�nden) Teil des LAN ist. Einer der Gr�nde k�nnte
sein, dass er sich aus dem LAN heraus (genauer: von einem speziellen
Rechner im LAN) aufbaut. Ist insgesamt ein beliebtes und sinnvolles
Verfahren, erspart viel Rennerei.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 19.10.09:
>>> Es geht aber nicht um die Schule, sondern um die harte
>>> Gesch�ftswelt in der man sich nicht immer leisten kann seinen
>>> Kunden irgenwas aus Idealismus vorzuschreiben.
>> Sorry - mir geht es um die Schule. Das ist eine viel h�rtere Welt.
> Gerade in der Schule koennte man es sich doch leisten, OpenOffice
> frei zu verteilen und Praesentationen in OpenDocument oder PDF zu
> fordern (die sich damit problemlos erstellen lassen).
"man"? Sicherlich.
Sobald es konkret wird, kann es ein wenig komplizierter werden. Vor
allem dann, wenn Vorgesetzte nicht auf Windows verzichten wollen oder
aber wenn p�dagogisch engagierte, aber IT-asthenische Kollegen (m/w) die
schulischen M�glichkeiten nutzen wollen. Da ist gelegentlich Vieles
gegeneinander abzuw�gen.
Viele Gruesse!
Helmut
Pascal B. Kreil
>Toll!
Yep, finde ich auch.
>Allerdings ist mir als Betreuer eines (Schul-)LAN fast Wumpe, ob der
>USB-Stick verseucht wird.
Es wurde ja auch angesprochen, dass sich eine m锟絞liche "Verseuchung"
auf andere Sticks verbreitet.
>Mir w锟絩e es allerdings nicht recht, wenn der USB-Stick das LAN
>verseucht.
Da kommt er ja nicht hin, wenn das ordentlich aufgebaut ist.
>> Maximal verseucht das dann den Pr锟絪entationsrechner und der muss ja
>> 锟絙erhaupt nicht im Netz h锟絥gen.
>
>Da kann viel mehr als nur der Pr锟絪entationsrechner verseucht werden,
Nope
>wenn der (aus anderen Gr锟絥den) Teil des LAN ist. Einer der Gr锟絥de k锟絥nte
>sein, dass er sich aus dem LAN heraus (genauer: von einem speziellen
>Rechner im LAN) aufbaut. Ist insgesamt ein beliebtes und sinnvolles
>Verfahren, erspart viel Rennerei.
Das ergibt leider 锟絙erhaupt keinen Sinn. Zum einen ist das ein
isoliertes Ger锟絫, das immer wieder nach einer Veranstaltung aus einem
Image restauriert wird und somit exakt null Supportaufwand neben
diesem Restore hat. Das kann man mit entsprechender Software auch
quasi direkt beim Neustart machen lassen und ist insgesamt 锟絙erhaupt
kein Akt.
Du musst Dich entscheiden, was Du willst. USB-Sticks zulassen ohne
deren Herkunft zu kennen *und* den betroffenen Rechnern
uneingeschr锟絥kten Zugang zum LAN erlauben geht halt nicht. Es sei denn
man steht auf Risiko und liebt die Gefahr ;-)
Bis denne,
Pascal
Helmut Hullen
Du meintest am 19.10.09:
>> Mir w�re es allerdings nicht recht, wenn der USB-Stick das LAN
>> verseucht.
> Da kommt er ja nicht hin, wenn das ordentlich aufgebaut ist.
Das ist eine ausgesprochen kluge und auch hilfreiche Information.
K�nntest Du vielleicht erl�utern, was "ordentlich aufgebaut" als
Komponenten enth�lt, insbesondere in einem LAN wie beispielsweise einem
Schulnetz?
Ein solches Netz zeichnet sich u.a. dadurch aus, dass "die
Administration" aus engagierten Laien besteht und dass die Benutzer
nicht sonderlich disziplinert werden k�nnen.
>>> Maximal verseucht das dann den Pr�sentationsrechner und der muss ja
>>> �berhaupt nicht im Netz h�ngen.
>>
>> Da kann viel mehr als nur der Pr�sentationsrechner verseucht werden,
> Nope
Falls Deine pauschale Schutzbehauptung erf�llt ist.
>> wenn der (aus anderen Gr�nden) Teil des LAN ist. Einer der Gr�nde
>> k�nnte sein, dass er sich aus dem LAN heraus (genauer: von einem
>> speziellen Rechner im LAN) aufbaut. Ist insgesamt ein beliebtes und
>> sinnvolles Verfahren, erspart viel Rennerei.
> Das ergibt leider �berhaupt keinen Sinn. Zum einen ist das ein
> isoliertes Ger�t, das immer wieder nach einer Veranstaltung aus einem
> Image restauriert wird und somit exakt null Supportaufwand neben
> diesem Restore hat.
Aha.
Beide Voraussetzungen sind nicht unbedingt erf�llt.
> Das kann man mit entsprechender Software auch
> quasi direkt beim Neustart machen lassen und ist insgesamt �berhaupt
> kein Akt.
Klar - die Theorie kenne ich auch. Und ich kenne auch die Praxis.
> Du musst Dich entscheiden, was Du willst. USB-Sticks zulassen ohne
> deren Herkunft zu kennen *und* den betroffenen Rechnern
> uneingeschr�nkten Zugang zum LAN erlauben geht halt nicht. Es sei
> denn man steht auf Risiko und liebt die Gefahr ;-)
Prima!
Damit ist die Schuldfrage gekl�rt. Das hilft den armen Kollegen
Administratoren sicherlich weiter.
Viele Gruesse!
Helmut
Juergen Ilse
Helmut Hullen <hel...@hullen.de> wrote:
> Du meintest am 19.10.09:
>>>> Es geht aber nicht um die Schule, sondern um die harte
>>>> Geschäftswelt in der man sich nicht immer leisten kann seinen
>>>> Kunden irgenwas aus Idealismus vorzuschreiben.
>>> Sorry - mir geht es um die Schule. Das ist eine viel härtere Welt.
>> Gerade in der Schule koennte man es sich doch leisten, OpenOffice
>> frei zu verteilen und Praesentationen in OpenDocument oder PDF zu
>> fordern (die sich damit problemlos erstellen lassen).
> "man"? Sicherlich.
> Sobald es konkret wird, kann es ein wenig komplizierter werden. Vor
> allem dann, wenn Vorgesetzte nicht auf Windows verzichten wollen
OpenOffice (oder auf MAC meinetwegen noch NeoOffice) ist doch fuer so
ziemlich alle gaengigen Plattformen (einschliesslich Windows und MAC)
vorhanden. Niemand muss auf sein gewohntes Betriebssystem verzichten,
wenn er solche Software nutzen will.
> oder aber wenn pädagogisch engagierte, aber IT-asthenische Kollegen
> (m/w) die schulischen Möglichkeiten nutzen wollen.
Welche "schulischen Moeglichkeiten" kann man denn mit OpenOffice nicht,
mit anderen Office-Produkten aber schon nutzen?
> Da ist gelegentlich Vieles gegeneinander abzuwägen.
Wenn Sicherheit nicht schwerer wiegt als "RABAEH! ICH WILL ABER
M$-OFFICE HABEN!!!1ELF", hat man eben ein Problem ...
Juergen Ilse
Helmut Hullen <hel...@hullen.de> wrote:
> Da kann viel mehr als nur der Präsentationsrechner verseucht werden,
> wenn der (aus anderen Gründen) Teil des LAN ist.
Dann ist er eben waehrend der Praesentation (aus Sicherheitsgruenden)
mal *nicht* am LAN. Ja, so etwas laesst sich machen, wenn man es denn
nur umsetzen *wollte*.
> Einer der Gründe könnte sein, dass er sich aus dem LAN heraus (genauer:
> von einem speziellen Rechner im LAN) aufbaut.
Es sollte nicht so schwer sein, statt dessen den Praesentationsrechner
von lokaler Platte laufen zu lassen, so dass er nicht auf das LAN ange-
wiesen ist (und nach der Praesentation wieder mit einem "known good" sprich
sicher unkompromittierten Image ueberzubuegeln). Das ueberbuegeln des
Rechners mit einem "known good Image" sollte sich innerhalb von wenigen
Minuten machen lassen (solange man nicht unbedingt ein mehrere hundert
GB grosses Image zurueckspielen muss). Ggfs. ist der Rechner zum zurueck-
spielen des Image von einer Boot-CD zu starten und das Negtzwerkkabel
erst wieder einzustoepseln, wenn der Rechner von der CD gestartet ist
(und wenn das Image zurueckgespielt ist, das Netzwerkkabel wieder ent-
fernt wird, dann kann das Image auch ruhig ueber Netz vom Server kommen).
Das alles ist machbar und erfordert eben nur den Willen so etwas umzusetzen
und etwas Disziplin, um dieses Vorgehen auch Konsequent durchzuhalten.
Juergen Ilse
Helmut Hullen <hel...@hullen.de> wrote:
> Du meintest am 19.10.09:
>>> Mir wäre es allerdings nicht recht, wenn der USB-Stick das LAN
>>> verseucht.
>> Da kommt er ja nicht hin, wenn das ordentlich aufgebaut ist.
> Das ist eine ausgesprochen kluge und auch hilfreiche Information.
> Könntest Du vielleicht erläutern, was "ordentlich aufgebaut" als
> Komponenten enthält, insbesondere in einem LAN wie beispielsweise einem
> Schulnetz?
Waehrend der Nutzung des nicht vertrauenswuerdigen USB-Sticks mindestens
1 cm Lust zwischen Netzwerkkarte und Netzwerkkabel?
> Ein solches Netz zeichnet sich u.a. dadurch aus, dass "die
> Administration" aus engagierten Laien besteht
Das ziehen des NEtzwerkkabels sollte auch einen "engagierten Laien" nicht
vor unloesbare Probleme stellen ...
> und dass die Benutzer nicht sonderlich disziplinert werden können.
Unbelehrbare Benutzer duerfen dann eben nicht unbeaufsichtigt an den
Rechner.
>> Das ergibt leider überhaupt keinen Sinn. Zum einen ist das ein
>> isoliertes Gerät, das immer wieder nach einer Veranstaltung aus einem
>> Image restauriert wird und somit exakt null Supportaufwand neben
>> diesem Restore hat.
> Aha.
> Beide Voraussetzungen sind nicht unbedingt erfüllt.
Dann sorge dafuer, dass sie fuer den "Praesentationsrechner" erfuellt sind.
Jens Hektor
>> Done:
>
>> http://www.google.de/search?q=rwth+usb-stick
>
> Liefert einige Treffer. Meinst Du das Rundschreiben 1/2009? Das l�sst
ja.
> eher erahnen, dass USB-Sticks das LAN verseucht haben.
Aus dem Dokument:
Nach den dem RZ vorliegenden Berichten scheint die g�ngigste
Verbreitung des Wurms an der RWTH via USB-Stick zu erfolgen.
"Erahnen"?
>>> s.o. - darf ich dabei auf Deine t�tige Hilfe setzen?
>
>> Du bist falsch hier.
>
> Ich nehme gern die Hilfe von Kennern an.
Es ist wirklich nicht so schwer, eine der typischen c't-CDs
in ein z.B. Laptop zu stecken und dann z.B. ein
ls -la /media/usbstick
o.�. von sich zu geben. Taucht dort "autorun.inf" auf,
hat man meist schon einen Treffer.
Hier gibt es bereits die ersten Institute, deren Kooperationspartner
verplombte USB-Ports fordern.
Anyway. Das wichtigste ist Aufkl�rung der User und sei es ganz plakativ
mit dem Satz: "USB-Sticks sind b�se".
Juergen P. Meier
> Welche "schulischen Moeglichkeiten" kann man denn mit OpenOffice nicht,
> mit anderen Office-Produkten aber schon nutzen?
Microsoft-Indoktrination funktoinert nicht mit freien Produkten. Und
wenn der Leherer OO verwendet, bekommt er auch kein buntes MS-Office
geschenkt dafuer, dass er die Kinder anfixt.
> Wenn Sicherheit nicht schwerer wiegt als "RABAEH! ICH WILL ABER
> M$-OFFICE HABEN!!!1ELF", hat man eben ein Problem ...
Was hat Rabaeh damit zu tun?
Helmut Hullen
Du meintest am 19.10.09:
>> Einer der Gr�nde k�nnte sein, dass er sich aus dem LAN heraus
>> (genauer: von einem speziellen Rechner im LAN) aufbaut.
> Es sollte nicht so schwer sein, statt dessen den
> Praesentationsrechner von lokaler Platte laufen zu lassen, so dass er
> nicht auf das LAN ange- wiesen ist (und nach der Praesentation wieder
> mit einem "known good" sprich sicher unkompromittierten Image
> ueberzubuegeln). Das ueberbuegeln des Rechners mit einem "known good
> Image" sollte sich innerhalb von wenigen Minuten machen lassen
> (solange man nicht unbedingt ein mehrere hundert GB grosses Image
> zurueckspielen muss).
Also Stecker abziehen pr�sentieren, herunterfahren, Stecker einst�pseln,
neu booten (und restaurieren) - das geht sicher schief.
> Ggfs. ist der Rechner zum zurueck- spielen des
> Image von einer Boot-CD zu starten und das Negtzwerkkabel erst wieder
> einzustoepseln, wenn der Rechner von der CD gestartet ist (und wenn
> das Image zurueckgespielt ist, das Netzwerkkabel wieder ent- fernt
> wird, dann kann das Image auch ruhig ueber Netz vom Server kommen).
CD?
CD-Laufwerke sind Verschleissartikel, CDs auch. Auch das geht schief.
Sorry - einige Kollegen haben das bereits ausprobiert - die Ergebnisse
sind miserabel.
> Das alles ist machbar und erfordert eben nur den Willen so etwas
> umzusetzen und etwas Disziplin, um dieses Vorgehen auch Konsequent
> durchzuhalten.
So isses. Also wird es nicht gemacht. Soweit die Praxis.
Wenn der Systembetreuer tats�chlich die Macht h�tte, diese Restriktionen
durchzusetzen, dann w�re (neben der Verschlechterung des Betriebsklimas)
die wahrscheinliche L�sung, dass Pr�sentationen nicht mehr gemacht
werden. Und das ist auch kein sinnvolles Ergebnis.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 19.10.09:
>> Sobald es konkret wird, kann es ein wenig komplizierter werden. Vor
>> allem dann, wenn Vorgesetzte nicht auf Windows verzichten wollen
> OpenOffice (oder auf MAC meinetwegen noch NeoOffice) ist doch fuer so
> ziemlich alle gaengigen Plattformen (einschliesslich Windows und MAC)
> vorhanden. Niemand muss auf sein gewohntes Betriebssystem verzichten,
> wenn er solche Software nutzen will.
Du weisst das, ich weiss das. Das f�hrt aber nicht unbedingt dazu, dass
IT-Astheniker auf ihr Windows verzichten. Leider.
> Wenn Sicherheit nicht schwerer wiegt als "RABAEH! ICH WILL ABER
> M$-OFFICE HABEN!!!1ELF", hat man eben ein Problem ...
Nicht nur eines. Aber das ist eine der Komponenten, die den Betrieb
eines Schulservers durchaus kr�ftig beeinflussen. Keine IT-Abteilung,
vandalierende User, geringe Zwangsmittel, was die Nutzung von Soft- und
Hardware betrifft.
Um auf einen der Ausgangspunkte zur�ckzukommen: eine meiner Empfehlungen
in dem Bereich:
a) kein eigener Mailserver (Webmail ist schwer zu unterbinden)
b) Home- und Tauschverzeichnisse auf dem Server werden ab und zu
komplett gel�scht
c) Clients werden (z.B. per Rembo oder Dr.-Kaiser-Karte) beim Booten
restauriert (soweit n�tig).
Das reicht nicht, wenn auch Laptops o.�. angeschlossen werden d�rfen,
und diese Variante breitet sich schnell aus (und schmeisst Dreck ins
LAN).
----------------------------
USB-Sticks werden in Schulen �brigens erheblich h�ufiger zur
Datensicherung (anstelle des Home-Verzeichnisses - siehe Punkt b) und
zum Datentransport zwischen Schule und Wohnung benutzt, nicht einzig zur
Pr�sentation. Schliesslich ist es bequemer, nur den Stick zu
transportieren und nicht einen kompletten Rechner (Laptop o.�.)
------------------------------------
Aus einer Mailingliste f�r einen Schulserver:
Antwort an : linux...@mail.schule-bw.de
Betreff : Re: [linuxmuster] Virenschutz notwendig??
Datum : Mo 19.10.09, 22:28 (erhalten: 20.10.09, 07:27)
Groesse : 2584 Bytes
Virenschutz auf Client ist notwendig, aber unter Umst�nden nicht
ausreichend.
Beim Synchronisieren und Start von Windows ist der Virenscanner
veraltet, je nach Hersteller und Konfiguration dauert es eine Weile bis
die Signatur aktuell ist.
Schiebt ein Sch�ler in dieser Zeit einen USB-Stick ein, dann kann
folgendes passieren.
�ber Arbeitsplatz/�ffnen wird eine autorun.inf ausgef�hrt, selbst bei
deaktiviertem Autostart.
Wenn der Virenscanner dies nicht verhindert wird er vom Virus auf dem
Stick deaktiviert und zieht auch in Zukunft keine neuen Signaturen.
Der Virus setzt sich in Windows fest.
Und jetzt kommts:
Wenn beim Synchronisieren nicht formatiert wird, sondern nur anhand des
Zeitstempels abgeglichen wird, dann bleibt der Virus bei einem
Sync+Neustart erhalten. Viren ver�ndern oft Dateien ohne die Zeitstempel
zu ver�ndern.
Alle folgenden Sticks werden dann trotz Sync+Reboot ebenfalls infiziert.
J�rgen Rink
----------------------------------------
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 19.10.09:
>>>> Mir w�re es allerdings nicht recht, wenn der USB-Stick das LAN
>>>> verseucht.
>>> Da kommt er ja nicht hin, wenn das ordentlich aufgebaut ist.
>> Das ist eine ausgesprochen kluge und auch hilfreiche Information.
>> K�nntest Du vielleicht erl�utern, was "ordentlich aufgebaut" als
>> Komponenten enth�lt, insbesondere in einem LAN wie beispielsweise
>> einem Schulnetz?
> Waehrend der Nutzung des nicht vertrauenswuerdigen USB-Sticks
> mindestens 1 cm Luft zwischen Netzwerkkarte und Netzwerkkabel?
Faktisch nicht durchsetzbar. Eigentlich sollten Sch�ler und Lehrer die
Verkabelung nicht anfassen - das bringt n�mlich andere Probleme.
U.a.: zum Restaurieren muss der Rechner wieder ans LAN.
>> Ein solches Netz zeichnet sich u.a. dadurch aus, dass "die
>> Administration" aus engagierten Laien besteht
> Das ziehen des NEtzwerkkabels sollte auch einen "engagierten Laien"
> nicht vor unloesbare Probleme stellen ...
Ich weiss ... der n�chste Benutzer darf dann einige der Probleme finden
und korrigieren.
>> und dass die Benutzer nicht sonderlich disziplinert werden k�nnen.
> Unbelehrbare Benutzer duerfen dann eben nicht unbeaufsichtigt an den
> Rechner.
Wie willst Du das in einer Schule (mit z.B. 200 Rechnern) durchsetzen?
Insbesondere dann, wenn dieser Benutzer Kollege oder Vorgesetzter ist?
>>> Das ergibt leider �berhaupt keinen Sinn. Zum einen ist das ein
>>> isoliertes Ger�t, das immer wieder nach einer Veranstaltung aus
>>> einem Image restauriert wird und somit exakt null Supportaufwand
>>> neben diesem Restore hat.
>> Aha.
>> Beide Voraussetzungen sind nicht unbedingt erf�llt.
> Dann sorge dafuer, dass sie fuer den "Praesentationsrechner" erfuellt
> sind.
Du solltest Klassenr�ume kennen. Die dort installierten Rechner haben
mehr zu tun als einzig Pr�sentationsrechner zu sein. Und Wanderrechner
sind stets woanders.
Viele Gruesse!
Helmut
Helmut Hullen
Du meintest am 20.10.09:
> Aus dem Dokument:
> Nach den dem RZ vorliegenden Berichten scheint die g�ngigste
> Verbreitung des Wurms an der RWTH via USB-Stick zu erfolgen.
> "Erahnen"?
Also gibt es das hier diskutierte Problem mit verwurmten USB-Sticks auch
woanders. Das tr�stet zwar, l�st aber das Problem nicht.
> Es ist wirklich nicht so schwer, eine der typischen c't-CDs
> in ein z.B. Laptop zu stecken und dann z.B. ein
> ls -la /media/usbstick
> o.�. von sich zu geben. Taucht dort "autorun.inf" auf,
> hat man meist schon einen Treffer.
Sorry - willst Du diese Arbeiten vom Kollegen Kunstlehrer oder
Franz�sischlehrer erwarten? Zu Beginn des Unterrichts, wenn 20 bis 30
Sch�ler eigentlich was Neues lernen wollen, auf jeden Fall aber
"sinnvoll" besch�ftigt sein sollten?
> Hier gibt es bereits die ersten Institute, deren Kooperationspartner
> verplombte USB-Ports fordern.
Eben - das ist eine sichere L�sung, aber sie verlagert letzten Endes das
Problem nur.
> Anyway. Das wichtigste ist Aufkl�rung der User und sei es ganz
> plakativ mit dem Satz: "USB-Sticks sind b�se".
Prima! Das hilft mir nat�rlich weiter.
Viele Gruesse!
Helmut
Juergen Ilse
Helmut Hullen <hel...@hullen.de> wrote:
> Du meintest am 19.10.09:
>>> Sobald es konkret wird, kann es ein wenig komplizierter werden. Vor
>>> allem dann, wenn Vorgesetzte nicht auf Windows verzichten wollen
>> OpenOffice (oder auf MAC meinetwegen noch NeoOffice) ist doch fuer so
>> ziemlich alle gaengigen Plattformen (einschliesslich Windows und MAC)
>> vorhanden. Niemand muss auf sein gewohntes Betriebssystem verzichten,
>> wenn er solche Software nutzen will.
> Du weisst das, ich weiss das. Das führt aber nicht unbedingt dazu, dass
> IT-Astheniker auf ihr Windows verzichten. Leider.
Noch mal langsam zum mitschreiben: er muss dafuer nicht auf Windows
verzichten, er muss dazu lediglich ein anderes Programm auf seinem
Windows-system verwenden. Und ja, dass liesse sich durchsetzen, wenn
man denn einfach auf den Schulrechnern kein M$-Office sondern nur
z.B. OpenOffice zur Verfuegung stellen wuerde: "Nein, diese Praesen-
tation im Powerpoint2007-Format ist hier nicht abspielbar, weil
keine entsprechende Software installiert ist, nein solche Software
wird hier auch nicht installiert, oder wollen sie persoenlich die
Lizenzen fuer alle Schulrechner dafuer bezahlen?").
> Das reicht nicht, wenn auch Laptops o.ä. angeschlossen werden dürfen,
> und diese Variante breitet sich schnell aus (und schmeisst Dreck ins
> LAN).
Die (leider weder besonders billige noch besonders einfach zu konfigu-
rierende) Loesung dafuer waere 802.1x Authentifizierung: Meldet sich
der Rechner nicht mit passenden Credentials am Switch an, bleibt der
Switchport tot --> kein Netzwerkzugriff fuer unauthorisierte Rechner ...
Tschuess,
Juergen Ilse (juee...@usenet-verwaltung.de)
Helmut Hullen
Du meintest am 20.10.09:
>>> OpenOffice (oder auf MAC meinetwegen noch NeoOffice) ist doch fuer
>>> so ziemlich alle gaengigen Plattformen (einschliesslich Windows und
>>> MAC) vorhanden. Niemand muss auf sein gewohntes Betriebssystem
>>> verzichten, wenn er solche Software nutzen will.
>> Du weisst das, ich weiss das. Das f�hrt aber nicht unbedingt dazu,
>> dass IT-Astheniker auf ihr Windows verzichten. Leider.
> Noch mal langsam zum mitschreiben: er muss dafuer nicht auf Windows
> verzichten, er muss dazu lediglich ein anderes Programm auf seinem
> Windows-system verwenden. Und ja, dass liesse sich durchsetzen, wenn
> man denn einfach auf den Schulrechnern kein M$-Office sondern nur
> z.B. OpenOffice zur Verfuegung stellen wuerde:
Du scheinst Dich mit der Beharrlichkeit von Lehrern nicht so recht
auszukennen.
Auch bei meiner Schule (Technikerschule) gibt es etliche Kollegen, die
einzig mit den Microsoft-Produkten arbeiten wollen. Die k�nnen dazu sehr
erfinderisch sein.
Der Rest: hier wie auch woanders: "wenn sich jeder an alle Vorschriften
h�lt, ..." - dann g�be es weniger bis keine Probleme.
Bevor die Systembetreuer also mit der Neunschw�nzigen Katze durch alle
Rechnerr�ume jagen m�ssen, h�tte ich lieber ein System, das sich nicht
vorrangig darauf verl�sst, dass alle Nutzer alle Vorschriften kennen und
einhalten.
Viele Gruesse!
Helmut
Pascal B. Kreil
>Also Stecker abziehen pr�sentieren, herunterfahren, Stecker einst�pseln,
>neu booten (und restaurieren) - das geht sicher schief.
Vergiss die Sache mit dem Stecker. Es gibt exakt keinen realen Grund,
warum dieser eine isolierte Rechner �berhaupt einen Netzwerzugang
haben m�sste.
Bis denne,
Pascal
Pascal B. Kreil
>K�nntest Du vielleicht erl�utern, was "ordentlich aufgebaut" als
>Komponenten enth�lt, insbesondere in einem LAN wie beispielsweise einem
>Schulnetz?
Da das ja alles bereits in diesem Thread genannt wurde, halte ich es
f�r absolut m�ssig, das nochmal runterzubeten.
Wenn Dir nicht gef�llt was hier steht, dann liegt das weniger an den
Aussagen, denn die sind alle korrekt und auch alle so in der Praxis
durchf�hrbar. So funktioniert das bspw. bei hunderten von
Schulungseinrichtungen, die ihre Systeme immer wieder aus einem Image
zur�ckschreiben lassen. Ist also nicht irgendwas theoretisch
akademisches. BTDT
Bis denne,
Pascal
Helmut Hullen
Du meintest am 20.10.09:
>> Also Stecker abziehen, pr�sentieren, herunterfahren, Stecker
>> einst�pseln, neu booten (und restaurieren) - das geht sicher schief.
> Vergiss die Sache mit dem Stecker. Es gibt exakt keinen realen Grund,
> warum dieser eine isolierte Rechner �berhaupt einen Netzwerkzugang
> haben m�sste.
Daf�r gibt es viele Gr�nde. U.a. Restaurierung.
In einem Rechnerraum mit z.B. 15 Rechnern ist jeder Rechner von USB-
Sticks gef�hrdet, nicht einzig der isolierte Rechner mit dem Aufkleber
"nur f�r Pr�sentationen". Und wenn (sicherheitshalber) die Schule
keinerlei Haftung f�r die Datensicherung auf dem Server �bernimmt, dann
ist es ausgesprochen sinnvoll, wenn die Sch�ler die Ergebnisse ihrer
Arbeit (zus�tzlich) auf einem USB-Stick sichern.
Viele Gruesse!
Helmut
Stefan Kanthak
[...]
> Aus einer Mailingliste f�r einen Schulserver:
>
> Antwort an : linux...@mail.schule-bw.de
> Betreff : Re: [linuxmuster] Virenschutz notwendig??
> Datum : Mo 19.10.09, 22:28 (erhalten: 20.10.09, 07:27)
> Groesse : 2584 Bytes
>
> Virenschutz auf Client ist notwendig, aber unter Umst�nden nicht
> ausreichend.
>
> Beim Synchronisieren und Start von Windows ist der Virenscanner
> veraltet, je nach Hersteller und Konfiguration dauert es eine Weile bis
> die Signatur aktuell ist.
> Schiebt ein Sch�ler in dieser Zeit einen USB-Stick ein, dann kann
> folgendes passieren.
> �ber Arbeitsplatz/�ffnen wird eine autorun.inf ausgef�hrt, selbst bei
> deaktiviertem Autostart.
> Wenn der Virenscanner dies nicht verhindert wird er vom Virus auf dem
> Stick deaktiviert und zieht auch in Zukunft keine neuen Signaturen.
> Der Virus setzt sich in Windows fest.
Wenn dieser Fall eintreten kann, dann hat der Installateur total versagt:
1. in "Windows" festsetzen kann sich ein Schaedling nur mit Administrator-
Rechten;
2. SAFER alias Softwarebeschraenkungsrichtlinien gibt's seit 8 Jahren;
3. Abschalten von AUTORUN (und auch AUTOPLAY) ist seit 15 Jahren moeglich
(und wird von Microsoft seit Conficker ENDLICH umgesetzt).
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Rudolf Harras
> 1. in "Windows" festsetzen kann sich ein Schaedling nur mit Administrator-
> Rechten;
Dann bietet das in meiner ursprï¿œnglichen Frage als doch 100%igen Schutz!?
Stefan Kanthak
Wenn Du Windows als 100% sicher betrachtest: ja.
Bei jeder (ungepatchten) Luecke, die es einem Normalbenutzer erlaubt,
sich Administratorrechte zu verschaffen, "versagt" dieser Schutz.
Zudem hast Du in Deinem Szenario alles ausser AUTORUN.INF aussen vor
gelassen.
NTFS, Privilegientrennung und SAFER sind zusammen allerdings DAS
wirksame Mittel, um ein Windows zu schuetzen.
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen ᅵ823
Abs. 1 sowie ᅵ1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Jan C. Faerber
wrote:
> Würde eine dieser beiden Maßnahmen schon ausreichen oder gibt es bereits
> Viren wo auch das nicht hilft?
Die Sorge ist berechtigt: Die Bevölkerung könnte in Panik ausbrechen,
bei solchen Schaltungen:
http://www.youtube.com/watch?v=MzaN2x8qXcM
Rudolf Harras
>> Würde eine dieser beiden Maßnahmen schon ausreichen oder gibt es bereits
>> Viren wo auch das nicht hilft?
>
>Die Sorge ist berechtigt: Die Bevölkerung könnte in Panik ausbrechen,
>bei solchen Schaltungen:
>http://www.youtube.com/watch?v=MzaN2x8qXcM
lol das kenn ich schon. genial...
Erhard Schwenk
> Waehrend der Nutzung des nicht vertrauenswuerdigen USB-Sticks mindestens
> 1 cm Lust zwischen Netzwerkkarte und Netzwerkkabel?
^^^^^^^^
Hmm.. also Lust mag ja durchaus ab und an effektiv Infektionsverhindernd
wirken, aber 1cm wär mir denn doch etwas arg kurz...
SCNR
--
Erhard Schwenk
Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de/
APAYA running System - http://www.apaya.net/
Jan C. Faerber
wrote:
man kann schon irgendwie den Eindruck bekommen,
das Viren auf der Lauer liegen und nur darauf warten,
dass sie zusammen mit anderen Zwischenfällen loslegen wollen.
Jens Hektor
> man kann schon irgendwie den Eindruck bekommen,
> das Viren auf der Lauer liegen und nur darauf warten,
Und genau so ist das auch. Klassisches Botverhalten.
Jan C. Faerber
> Am 28.10.2009 19:40, schrieb Jan C. Faerber:
>
> > man kann schon irgendwie den Eindruck bekommen,
> > das Viren auf der Lauer liegen und nur darauf warten,
>
> Und genau so ist das auch. Klassisches Botverhalten.
In Österreich ist es so, dass in Schulen etwa Kaliumjodid Tabletten
vorhanden sein müssen.
Zur Jodprophylaxe bei Reaktorunfällen.
Juergen P. Meier
> In ï¿œsterreich ist es so, dass in Schulen etwa Kaliumjodid Tabletten
> vorhanden sein mï¿œssen.
> Zur Jodprophylaxe bei Reaktorunfï¿œllen.
ROFL. Wenn Temelin hochgeht, braucht man sich (nicht nur in .at)
um Jod keine Gedanken mehr machen.