Ich möchte hier dokumentieren, wie man ein Bios Update für die von uns eingesetzten Lenovo Computer automatisch mit SCCM installiert. Als erstes lädt man sich das Update von der Lenovo Support Seite herunter, extrahiert es und kopiert es auf eine Netzfreigabe auf dem SCCM Server. Am besten wählt man eine sinnvolle Ordnerstruktur wie z.B. Computermodell –> Biosversion.
Bei privaten WLAN Installationen muss man meist einfach ein Passwort eingeben, damit man sich mit dem WLAN verbinden kann. Im Gegensatz dazu verbinden sich unsere Clients mit dem WLAN, indem sie sich mit einem Computerzertifikat an einem Radiusserver authentifizieren. Dies wird auch als Enterprise Modus bezeichnet (z.B. WPA2-Enterprise). Genauere Informationen dazu findet man in diesem Beitrag. Diese Umsetzung gilt als sehr sicher und wird häufig in grösseren Netzwerken eingesetzt, ist dafür aber entsprechend komplex. Heute konnten sich unsere mobilen Geräte nicht mehr mit dem WLAN verbinden.
Wenn wir neue Computer einrichten, konfigurieren wir auch Intel AMT. Zum einen, weil der Remotezugriff einfach sehr praktisch ist und natürlich auch, damit unsere Schüler/-innen dies nicht selber machen (und uns damit ausschliessen) können.
Falls man auf einem Server 2016 den Defender als Virenschutz einsetzt, die Windowsupdates aber manuell installiert, bekommt der Defender keine automatischen Updates. Man kann dies aber über die Aufgabenplanung lösen. Dies ist ausführlich auf dem Blog “Frankys Web” beschrieben.
Der Kanton St. Gallen verlangt von den Schulen, dass sie für Internetzugänge “Web Content Screening” einsetzen. In diesem Beitrag wird beschrieben, wie man das mit einer Sophos UTM Firewall umsetzt. Da das Aufbrechen von SSL Verbindungen ein Eingriff in die Privatsphäre der Benutzer ist, haben wir auf unserer Schulhomepage neben Anleitungen zur Installation unseres Zertifikats auch ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was da passiert. Nun funktionierte WhatsApp, wahrscheinlich seit der Umstellung auf Ende zu Ende verschlüsselten Verbindungen, nicht mehr aus unserem Netzwerk.
Ich möchte hier mal exemplarisch aufzeigen, wie ich versuche, unser Netzwerk zu schützen.
Bemerkung am Rande: Nach dem Ruag Hack hat Melanie einen Bericht mit Best Practices veröffentlicht. Die lassen sich leider aber nicht alle in einem Schulnetzwerk umsetzen, da ansonsten Lehrpersonen und Schüler/-innen viel zu stark eingeschränkt sind (z.B. AppLocker). Wir „leben“ also damit, nicht die besten Schutzmassnahmen umzusetzen, damit wir arbeiten können (es ist was anderes in einer Firma mit wenigen Applikationen und wenig „Freiheit“ für den Benutzer). Daher bleibt in so einem Fall nur auf den gesunden Menschenverstand der Benutzer zu setzen und wenigstens alle möglichen anderen Sicherheitsmassnahmen umzusetzen, die aber die Benutzer nicht zu stark einschränken.
Unter Windows 10 werden bei uns Gruppenrichtlinien beim Computerstart nicht zuverlässig angewendet. Am einfachsten sieht man das daran, dass nicht alle Netzlaufwerke verbunden werden.
Ich habe mir angewöhnt jeden Monat einmal zu überprüfen, ob das Erkennen von Malware funktioniert. Diesen Monat auch für die erst wenigen mit SCCM 2012 R2 verwalteten Windows 10 Clients. Zum Überprüfen kann man einfach eine Eicar-Testdatei erstellen, indem man die folgenden Zeichen in eine ausführbare Datei kopiert:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Nach einem Test wird in SCCM eine Warnung generiert.
Schneller reagieren kann man aber, wenn zudem noch eine Meldung per Mail verschickt wird, sobald Malware erkannt wurde.
Damit man zusätzlich zu den Warnungen auch noch eine Mail erhält, muss man bei “Überwachung” -> “Warnungen” -> “Abonnements” ein “Abonnement erstellen”.
Danach funktioniert auch der Alarm per Mail.
Microsoft bietet einen eigenen Virenschutz an, den man mit SCCM (System Center Configuration Manager) verwalten kann. Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer Schulkonditionen eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und Virenschutz günstiger als die meisten anderen Antivirenlösungen ist.
Wie man Endpoint Protection zusammen mit SCCM konfiguriert wird im Technet oder in dieser Schritt für Schritt Anleitung beschrieben. Bei der Installation von Windows 10 wird der Defender als Virenschutz installiert. Dieser wird aber bei der Installation des SCCM Clients mit aktiviertem “Endpoint Protection-Punkt” nicht wie erwartet mit Endpoint Protection ersetzt.
Neu bleibt Windows Defender installiert. Dieser erhält aber trotzdem über SCCM Updates und Richtlinien (Policies).
Wichtig ist also, dass man bei der Konfiguration des Softwareupdatepunkts auch an diesen Umstand denkt. Unter “Klassifizierungen” sollte also “Definitionsupdates” aktiviert und bei Produkte “Windows Defender” ausgewählt sein.
Ansonsten habe ich alles analog dieser Anleitung für Endpoint Protection konfiguriert.
Dass die Richtlinien greifen, kann man überprüfen, indem man bei “Hilfe” –> “Info” auswählt.
Wenn man auf Einstellungen geht, stellt man auch fest, dass beispielsweise der Echtzeitschutz ausgegraut ist und nicht mehr vom Benutzer deaktiviert werden kann.
McAfee bietet unter https://phishingquiz.mcafee.com/ einen Test mit 10 Mails, bei denen man entscheiden muss, ob es sich um ein Phishing Mail handelt oder nicht. Aus der Statistik kann man entnehmen, dass da sehr viele Mails falsch beurteilt werden.
Neben aktuellen Systemen (Betriebssystem, PlugIns, Virenschutz,…) und Schutz beim Übergang vom resp. ins Internet (Firewall, Content Filter, Intrusion Prevention, ausführbare Anhänge bei Mails blockieren, …) sollte man also auch immer mal wieder die Benutzer sensibilisieren.
Leider ist der Test auf Englisch. Zum einen können nicht alle Lehrkräfte Englisch und zum anderen eignet er sich darum auch nur bedingt, um das Thema mit den Schüler/-innen im Informatikunterricht zu besprechen. Wer seine Schüler/-innen zu diesem Thema sensibilisieren möchte, findet übrigens auch im Kapitel 13 vom Medienkompass Unterstützung.
ictschule 