Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

[GPO] Nur im Intranetz ans Netz

word.exe
in Windows

Empfohlene Antworten

Veröffentlicht

Moin Moin,

ich verzweifle an einer relativ simplen Lösung und wollte euch um Rat bitten.

In unserer Firma geben wir unseren Lehrgangsteilnehmern/Dozenten Laptops aus, welche sie bei uns am Standort ganz normal verwenden dürften (Ins Internet gehen etc.).
Jedoch dürfen diese Geräte aufgrund der IT-Sicherheit nicht außerhalb des Standorts betrieben werden.

Dafür müssen wir eine Lösung finden und so langsam gehen mir die Google-Ideen aus.

Hat jemanden schonmal mit sowas gearbeitet, bzw gelöst und könnte mir helfen?

Grüße

Was wäre denn dein Ansatz?
Mir würden spontan zwei relativ simple Ansätze einfallen (Boot über Netzwerk, Profilbeschränkungen).

Man kann sich aber auch eine Art Software Dongle basteln, dass beim Start eine beliebigen Netzwerkpfad oder eine bestimmte Datei auf dem Server als Grundbedingung zum starten des Betriebssystems benötigt.

Für Wifi kann man mit einer Whitelist arbeiten:

https://www.windowspro.de/wolfgang-sommergut/wlans-blockieren-zulassen-netshexe-gpos

Die eingebaute Netzwerkkarte kann man dann entweder direkt im BIOS deaktivieren falls man das nicht braucht, explizit deaktivieren in Windows - oder man hat Geräte ohne Netzwerkkarte.

Wie man dann allerdings auch noch zusätzlich zuverlässig verhindern kann dass Irgendwas mit NIC über einen USB Anschluss kommt...

  • Um was für Schulungen/Teilnehmer handelt es sich denn? Von wie "technisch affin" müsste man ausgehen?
  • Könntet ihr mit einem "allways on" VPN die Geräte immer et mal nach "zuhause" tunneln und dann wieder "frei laufen" lassen?
  • Warum müssen die Geräte überhaupt die Schulungsumgebung verlassen? Kann man den zu lernenden Inhalt nicht hinter einer Website mit Zugangsdaten oder einer RDS-Farm verstecken?
  • Autor
vor 22 Stunden schrieb Maniska:

Für Wifi kann man mit einer Whitelist arbeiten:

https://www.windowspro.de/wolfgang-sommergut/wlans-blockieren-zulassen-netshexe-gpos

Die eingebaute Netzwerkkarte kann man dann entweder direkt im BIOS deaktivieren falls man das nicht braucht, explizit deaktivieren in Windows - oder man hat Geräte ohne Netzwerkkarte.

Wie man dann allerdings auch noch zusätzlich zuverlässig verhindern kann dass Irgendwas mit NIC über einen USB Anschluss kommt...

  • Um was für Schulungen/Teilnehmer handelt es sich denn? Von wie "technisch affin" müsste man ausgehen?
  • Könntet ihr mit einem "allways on" VPN die Geräte immer et mal nach "zuhause" tunneln und dann wieder "frei laufen" lassen?
  • Warum müssen die Geräte überhaupt die Schulungsumgebung verlassen? Kann man den zu lernenden Inhalt nicht hinter einer Website mit Zugangsdaten oder einer RDS-Farm verstecken?

Aufgrund von mehreren IT-Sicherheitsgründen darf WIFI nicht genutzt werden.

Bei den Teilnehmern handelt es sich um Soldaten. Gleichzusetzen wie ... Schüler ...

Die Geräte müssen den Standort verlassen, damit diese von zuhause aus lernen können. (Digitalisierung  🤡)

Unsere Website darf nur aus dem Intranet erreich werden, eine VPN Lösung ist nicht im Sinne des Dienstherren.

 

^ Das sind die Probleme die wir haben

Am 15.7.2024 um 08:25 schrieb word.exe:

Jedoch dürfen diese Geräte aufgrund der IT-Sicherheit nicht außerhalb des Standorts betrieben werden.

vor 56 Minuten schrieb word.exe:

Die Geräte müssen den Standort verlassen, damit diese von zuhause aus lernen können. (Digitalisierung  🤡)

Ja was denn nun?

vor 6 Stunden schrieb allesweg:

Ja was denn nun?

 

Am 15.7.2024 um 08:59 schrieb word.exe:

^ Korrigiere: Sie dürfen außerhalb des Standorts betrieben werden zum Lernen, jedoch darf eine Internetverbindung nur innerhalb des Standorts bestehen und nicht außerhalb.

 

Man könnte mit einer RADIUS Authetifizierung arbeiten,

Alternativ aber das wissen wir nicht einen Standart User einrichten der auf jedem Rechner Local installiert ist dessen rechte so weit beschnitten sind, das er keine veränderungen vornehmen kann. Wenn er am Standort ist wird er übers Domänen Netzwerk angemeldet und nicht local.

Die Netzwerkschnistelle ist dann entsprechend am Standort passend über VLAN, etc. und gesetzte Config. am Rechner  für Internet verfügbar.

Aber dazu wissen wir als externe zu wenig über die eingesetzte Software, die Stufe der Verschlüsselung, die nötigen Mitarbeiter/Schüler Rotationen und entsprechende Backup und sonstige Strategien.

Wenn das nicht intern gelöst werden kann, würde ich mir ein externes Systemhaus holen.

 

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.