[Techinfo] érettségire készítendő munkaállomások zsarolóvírus elleni védelme

Fehér Sándor fehersandor at madach-starjan.sulinet.hu
2017. Május. 16., K, 12:14:59 CEST


Szia!

Én például úgy csinálom az érettségit, hogy mindig új image-t készítek, 
feltelepítem az alapot ( win + office) és frissítem a win update-al. 
(emelt szintű érettségi esetén)
Ezután készítek egy image-t róla és megy a többi gépre vissza.
Ezt követően beléptetem mindet egy külön tartományvezérlőre, ami egy 
másik különálló szerver direkt e célra.
A hiányzó programokat feltelepítem az egyes gépekre. (emelten csak az 
lehet amit kért a tanuló, kivéve a pótgépet)

Ha sok egyforma gép kell, akkor minden programot felrakok imagelés 
előtt. (pl közép szintű érettséginél)
A lényeg, hogy érettségire naprakész és frissen telepített image a 
javasolt!!!

A tartományi hálózatnak sok előnyét látom érettségikor:
- a tanulók szűntmentes áramforrással ellátott szervergépen "dolgoznak" 
( az anyagok ott vannak mentve, ha mentenek :) )
- a összegző adatmentés pofonegyszerű, egy helyről megoldható egy lépésben
- a hozzáférés központi helyről kezelhető, tiltható, naplózható (nem 
kell minden gépen új felhasználó/jelszó létrehozás)
- sok egyéb hasznos dolog tiltható vagy engedélyezhető GPO-ból és nem 
kell mindenhol egyesével.( usb,cd letiltás, energiagazdálkodás 
beállítása stb)
- ha sysprep-et használsz, akkor sem kell újracsinálni a GPO-kat!!!!( ha 
helyileg kezeled image-ben a GPO-kat, akkor sajnos resetelődik a 
beállítás sysprep esetén)
- a windows update-et nem szoktam tiltani GPO-val, helyette átteszem 
manuális keresés módra. ( a vizsgán meg nem fog frissülni, mert nem lesz 
net és nem okoz gondot)

Hátrány:
-mivel hálózaton vannak a gépek jobban kell figyelni a gépek közötti 
kommunikáció megakadályozására
- Az internet letiltása tűzfallal ( én ip + mac alapon is tiltom)
-hálózatfelderítés + msg.exe stb. tiltása GPO-val >>> Ezzel külön kell 
foglalkozni




2017. 05. 16. 11:45 keltezéssel, Horváth Péter írta:
> Sziasztok!
>
> Érdekes hogy még fel sem merült ez a probléma a listán..
>
> Nem szeretném ha meglepetés érne az érettségire felkészített gépek 
> vonatkozásában. Ha jól értelmezem, ez a mostani WanaCry zsarolóvírus 
> az SMB server biztonsági rését kihasználva
>
> terjed a LAN ra kapcsolt gépek között. Ezt a biztonsági rést 2017 
> márciusban javították, de lehet még nem került fel az összes tanulói 
> munkaállomásra, és tanári laptopra.
>
> Arról nem is beszélve, hogy a tanulói gépeken Radix kártya van, vagy 
> DeepFreeze szerű szoftver, ami kizárja hogy a gép naprakész legyen.
>
>
> Gondolom az érettségin mindenhol naprakész windows lesz használva, 
> naprakész vírusvédelmi szoftverrel, de ettől függetlenül mi a 2. 
> legjobb megoldás a zsarolóvírus
>
> terjedésének megakadályozésára?
>
>
> Olvastam registry bejegyzésről ami letiltja az SMB1 protokollt.
>
> Vagy mi lenne ha letiltanám a hálózati adapternél a windows hálózatot, 
> és a fájl és nyomtató megosztást (ezek nem kellenek a Novell hálózat 
> miatt) ?
>
> Egyéb ötlet? Mit gondoltok?
>
>
> Kösz,
>
> Péter
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



További információk a(z) Techinfo levelezőlistáról