Die Firma Pedrett IT + Web AG betreibt die Plattform swissleak.ch, auf der bekannte Datenleaks nach Schweizer Benutzern analysiert wurden. Die gefundenen Accounts lassen sich geografisch anzeigen. Es sind auch einige Schulen im Rheintal betroffen.
Das Journal in Lehreroffice dient dazu, Beobachtungen und Ereignisse aus dem Unterricht festzuhalten. Bisher sahen Fachlehrpersonen nur Journaleinträge, die entweder keinem Fach oder einem Fach zugeordnet waren, das sie selber unterrichten.
Ich möchte hier dokumentieren, wie man ein Bios Update für die von uns eingesetzten Lenovo Computer automatisch mit SCCM installiert. Als erstes lädt man sich das Update von der Lenovo Support Seite herunter, extrahiert es und kopiert es auf eine Netzfreigabe auf dem SCCM Server. Am besten wählt man eine sinnvolle Ordnerstruktur wie z.B. Computermodell –> Biosversion.
Bei privaten WLAN Installationen muss man meist einfach ein Passwort eingeben, damit man sich mit dem WLAN verbinden kann. Im Gegensatz dazu verbinden sich unsere Clients mit dem WLAN, indem sie sich mit einem Computerzertifikat an einem Radiusserver authentifizieren. Dies wird auch als Enterprise Modus bezeichnet (z.B. WPA2-Enterprise). Genauere Informationen dazu findet man in diesem Beitrag. Diese Umsetzung gilt als sehr sicher und wird häufig in grösseren Netzwerken eingesetzt, ist dafür aber entsprechend komplex. Heute konnten sich unsere mobilen Geräte nicht mehr mit dem WLAN verbinden.
Wenn wir neue Computer einrichten, konfigurieren wir auch Intel AMT. Zum einen, weil der Remotezugriff einfach sehr praktisch ist und natürlich auch, damit unsere Schüler/-innen dies nicht selber machen (und uns damit ausschliessen) können.
Falls man auf einem Server 2016 den Defender als Virenschutz einsetzt, die Windowsupdates aber manuell installiert, bekommt der Defender keine automatischen Updates. Man kann dies aber über die Aufgabenplanung lösen. Dies ist ausführlich auf dem Blog “Frankys Web” beschrieben.
Der Kanton St. Gallen verlangt von den Schulen, dass sie für Internetzugänge “Web Content Screening” einsetzen. In diesem Beitrag wird beschrieben, wie man das mit einer Sophos UTM Firewall umsetzt. Da das Aufbrechen von SSL Verbindungen ein Eingriff in die Privatsphäre der Benutzer ist, haben wir auf unserer Schulhomepage neben Anleitungen zur Installation unseres Zertifikats auch ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was da passiert. Nun funktionierte WhatsApp, wahrscheinlich seit der Umstellung auf Ende zu Ende verschlüsselten Verbindungen, nicht mehr aus unserem Netzwerk.
Ich möchte hier mal exemplarisch aufzeigen, wie ich versuche, unser Netzwerk zu schützen.
Bemerkung am Rande: Nach dem Ruag Hack hat Melanie einen Bericht mit Best Practices veröffentlicht. Die lassen sich leider aber nicht alle in einem Schulnetzwerk umsetzen, da ansonsten Lehrpersonen und Schüler/-innen viel zu stark eingeschränkt sind (z.B. AppLocker). Wir „leben“ also damit, nicht die besten Schutzmassnahmen umzusetzen, damit wir arbeiten können (es ist was anderes in einer Firma mit wenigen Applikationen und wenig „Freiheit“ für den Benutzer). Daher bleibt in so einem Fall nur auf den gesunden Menschenverstand der Benutzer zu setzen und wenigstens alle möglichen anderen Sicherheitsmassnahmen umzusetzen, die aber die Benutzer nicht zu stark einschränken.
Unter Windows 10 werden bei uns Gruppenrichtlinien beim Computerstart nicht zuverlässig angewendet. Am einfachsten sieht man das daran, dass nicht alle Netzlaufwerke verbunden werden.
ictschule 