5
Lokale Virenprüfstation : Windows 10: Ändern von Einstellungen verhinden
Hallo Administratorengemeinde,
ich habe die Aufgabe bekommen, mir Gedanken darüber zu machen, wie folgendes Szenario am besten umsetzen könnte:
Wir haben vor, an mehreren Standorten jeweils einen Client als lokale Virenprüfstation einzurichten. Mitarbeiter können dann über einen USB-Stick Daten auf den Client schaffen und Dateien dort mit einem / mehreren Antivirenprogrammen scannen.
Die Systeme sollen so gehärtet werden, dass der lokale, eingeschränkte Benutzer), der den Prüfclient verwendet, wirklich nichts anderes tun kann als Dateien, die sich auf dem USB-Stick befinden, zu prüfen. Es sollen keinerlei Windows-Einstellungen vom Nutzer der Prüfstation verändert werden können.
- Die Boardmittel, die mir momentan einfallen wären: GPOs und Applocker. Aber damit kann ich doch nicht jede Einstellungsanpassung unterbinden?
- Außerdem habe ich mir Freeware-Version von "Reboot Restore Rx" angesehen. Dabei handelt es sich um eine Software, die bei jedem Neustart den Zustand des Systems auf den ursprünglichen Zustand zurücksetzt. Das halte ich eigentlich für eine sehr gute Idee, aber in der Praxis dürfte es am Aufwand scheitern, da ja auch regelmäßig Virensignaturen eingespielt werden müssen, und dafür die Software jedes mal manuell deaktiviert werden müsste?
Ich bin jedem sehr dankbar, der mich in die richtige Richtung weisen kann oder mir grob skizziert, wie das im eigenen Unternehmen gelöst wurde...
Vielen Dank schon mal im Voraus für den Input!
ich habe die Aufgabe bekommen, mir Gedanken darüber zu machen, wie folgendes Szenario am besten umsetzen könnte:
Wir haben vor, an mehreren Standorten jeweils einen Client als lokale Virenprüfstation einzurichten. Mitarbeiter können dann über einen USB-Stick Daten auf den Client schaffen und Dateien dort mit einem / mehreren Antivirenprogrammen scannen.
Die Systeme sollen so gehärtet werden, dass der lokale, eingeschränkte Benutzer), der den Prüfclient verwendet, wirklich nichts anderes tun kann als Dateien, die sich auf dem USB-Stick befinden, zu prüfen. Es sollen keinerlei Windows-Einstellungen vom Nutzer der Prüfstation verändert werden können.
- Die Boardmittel, die mir momentan einfallen wären: GPOs und Applocker. Aber damit kann ich doch nicht jede Einstellungsanpassung unterbinden?
- Außerdem habe ich mir Freeware-Version von "Reboot Restore Rx" angesehen. Dabei handelt es sich um eine Software, die bei jedem Neustart den Zustand des Systems auf den ursprünglichen Zustand zurücksetzt. Das halte ich eigentlich für eine sehr gute Idee, aber in der Praxis dürfte es am Aufwand scheitern, da ja auch regelmäßig Virensignaturen eingespielt werden müssen, und dafür die Software jedes mal manuell deaktiviert werden müsste?
Ich bin jedem sehr dankbar, der mich in die richtige Richtung weisen kann oder mir grob skizziert, wie das im eigenen Unternehmen gelöst wurde...
Vielen Dank schon mal im Voraus für den Input!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322951
Url: https://administrator.de/contentid/322951
Ausgedruckt am: 15.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Mehrere Virenscanner funktionieren unter Windows nur bedingt gut.
Wozu dann überhaupt ein Windows verwenden?
Ich würde das ganze mit einem Linux realisieren, dort kannst du problemlos mehrere Scanner nebeneinander installieren und dann On-Demand scannen lassen.
Alternativ einfach die c't Desinfect verwenden:
https://www.heise.de/download/product/desinfect-71642
VG
Val
Mehrere Virenscanner funktionieren unter Windows nur bedingt gut.
Wozu dann überhaupt ein Windows verwenden?
Ich würde das ganze mit einem Linux realisieren, dort kannst du problemlos mehrere Scanner nebeneinander installieren und dann On-Demand scannen lassen.
Alternativ einfach die c't Desinfect verwenden:
https://www.heise.de/download/product/desinfect-71642
VG
Val
Hi,
Und ihr meint das klappt?
Wenn es mal wieder schnell gehen muss, wird der Stick garantiert zuerst am eigenen PC eingesteckt und dann kann es zu spät sein.
Ich kenne eure Arbeitsweise natürlich nicht, aber muss es per USB sein?
Geht das nicht direkt über das Netzwerk und dort scannt du es am besten mit mehreren Scannern hintereinander?
Wenn das nicht alles Techniker sind, die am besten noch Ubuntu kennen, wird das meiner MEinung nach auch mit Desinfec't nichts.
Obwohl ich das erstmal auch empfohlen hätte.
VG,
deepsys
Zitat von @TryAndSolve:
Mitarbeiter können dann über einen USB-Stick Daten auf den Client schaffen und Dateien dort mit einem / mehreren Antivirenprogrammen scannen.
Mitarbeiter können dann über einen USB-Stick Daten auf den Client schaffen und Dateien dort mit einem / mehreren Antivirenprogrammen scannen.
Und ihr meint das klappt?
Wenn es mal wieder schnell gehen muss, wird der Stick garantiert zuerst am eigenen PC eingesteckt und dann kann es zu spät sein.
Ich kenne eure Arbeitsweise natürlich nicht, aber muss es per USB sein?
Geht das nicht direkt über das Netzwerk und dort scannt du es am besten mit mehreren Scannern hintereinander?
Wenn das nicht alles Techniker sind, die am besten noch Ubuntu kennen, wird das meiner MEinung nach auch mit Desinfec't nichts.
Obwohl ich das erstmal auch empfohlen hätte.
VG,
deepsys
Zitat von @119944:
Alternativ einfach die c't Desinfect verwenden:
https://www.heise.de/download/product/desinfect-71642
Alternativ einfach die c't Desinfect verwenden:
https://www.heise.de/download/product/desinfect-71642
Den würde ich auch empfehlen, allerdings in der Version auf der DVD vom c't-Sonderheft Security 2016.
Das könnte man auf einen Stick installieren und so modifizieren daß eingesteckte Sticks automatisch gescannt werden und der User nicht ändern kann.
lks
Ich hoffe ich kann meine Frage noch etwas klarstellen. Leider habe ich auch noch etwas wenige Infos, weil ich die Aufgabe heute zwischen Tür und Angel bekommen habe.
Und ihr meint das klappt?
Wenn es mal wieder schnell gehen muss, wird der Stick garantiert zuerst am eigenen PC eingesteckt und dann kann es zu spät sein.
Auf allen Clients sind bereits Endpoint-Security-Lösungen und auf den Servern ebenfalls Lösungen gegen Maleware vorhanden. Die Prüfstationen sind meines Wissens nach für Dateien gedacht, bei der bereits ein Virenscanner angeschlagen hat, oder für Dateien, die von externen Dienstleistern über externe Datenträger mitgebracht werden. Wenn mich nicht alles täuscht, wird zusätzlich zum Scan der Prüfstation auch noch automatisch Virustotal befragt.
Alternativ einfach die c't Desinfect verwenden:
Von Desinfect habe ich schon gehört und wäre sicherlich auch mein Ansatz gewesen. Die Lösung auf den Prüfstationen ist aber nicht mehr verhandelbar.
Eigentlich bleibt nur folgende Frage:
Wie kann ich WIndows 10 so härten, dass Benutzer und Programme keine Veränderungen am System und den Windows-Einstellungen durchführen können?
Ich danke nochmals...
Und ihr meint das klappt?
Wenn es mal wieder schnell gehen muss, wird der Stick garantiert zuerst am eigenen PC eingesteckt und dann kann es zu spät sein.
Auf allen Clients sind bereits Endpoint-Security-Lösungen und auf den Servern ebenfalls Lösungen gegen Maleware vorhanden. Die Prüfstationen sind meines Wissens nach für Dateien gedacht, bei der bereits ein Virenscanner angeschlagen hat, oder für Dateien, die von externen Dienstleistern über externe Datenträger mitgebracht werden. Wenn mich nicht alles täuscht, wird zusätzlich zum Scan der Prüfstation auch noch automatisch Virustotal befragt.
Alternativ einfach die c't Desinfect verwenden:
Von Desinfect habe ich schon gehört und wäre sicherlich auch mein Ansatz gewesen. Die Lösung auf den Prüfstationen ist aber nicht mehr verhandelbar.
Eigentlich bleibt nur folgende Frage:
Wie kann ich WIndows 10 so härten, dass Benutzer und Programme keine Veränderungen am System und den Windows-Einstellungen durchführen können?
Ich danke nochmals...
Hallo,
Das was ihr vorhabt, wuerde bei uns so ganicht erlaubt werden.
Fuer den Fall das mal irgendwann Datentraeger durch Benutzer/Externe eintrudeln, pruefen wir! BEVOR die irgendwo versucht werden anzuschliessen. Was gottlob nicht geht, weil der gemeine Nutzer hat hier USB-Verbot und keine DVD/CD-LW.
m.E. garnicht.
BFF
Das was ihr vorhabt, wuerde bei uns so ganicht erlaubt werden.
Die Prüfstationen sind meines Wissens nach für Dateien gedacht, bei der bereits ein Virenscanner angeschlagen hat, oder für Dateien, die von externen Dienstleistern über externe Datenträger mitgebracht werden.
Fuer den Fall das mal irgendwann Datentraeger durch Benutzer/Externe eintrudeln, pruefen wir! BEVOR die irgendwo versucht werden anzuschliessen. Was gottlob nicht geht, weil der gemeine Nutzer hat hier USB-Verbot und keine DVD/CD-LW.
Wie kann ich WIndows 10 so härten, dass Benutzer und Programme keine Veränderungen am System und den Windows-Einstellungen durchführen können?
m.E. garnicht.
BFF
