Wir betreuen einige elektronische Exponate in einem Museum, die auf PCs mit Win10 basieren. Diese Geräte werden morgens per WOL an- und abends durch ein Remote-Kommando wieder ausgeschaltet. Sie treiben z.B. Info-Systeme mit Touchscreens, steuern animierte Beleuchtungseffekte, bilden Audio- und Video-Abspielstationen (mit eigener GUI) usw. Dass es sich um Windows-PCs handelt, ist nicht unsere Entscheidung, soviel vorab. Fakt ist, dass diese Dinger immer im unpassendsten Moment meinen, irgendwelche blöden Update-Infos einzublenden, Fehlermeldungen im Nachgang von Updates zu produzieren (obwohl vorher alles einwandfrei lief) usw. Sicherheit und Updatens mögen für aktive Arbeitsplätze wichtig sein, hier nervt es einfach nur. Der Schaden ist jedenfalls größer als der mögliche Nutzen. Frage nun: Gibts irgend ein Tool oder eine Anleitung, die es ermöglicht, einen PC mit Windows 10 definitiv auf einen Stand einzufrieren und diesen dabei trotzdem für Fernwartungszwecke (RDP und VNC) erreichbar zu halten? Danke für Tips.
:
Bearbeitet durch User
Ich würde einfach ein externe Server(chen) dazwischen schalten das alle Anfragen von / nach MS abfängt. Vielleicht wäre es sogar sinnvoll Windows im Kiosk-Mode zu betreiben bei deiner Anwendung.
Wenn du den Windows Update service stoppst sollte Ruhe sein. Aber bitte denke auf jeden Fall daran an einem Ruhetag sämtliche offenen Updates zu erzwingen.
die einfachste Lösung wäre in den Netzwerkeigenschaften auf getaktete Verbindung umzustellen. Dann lassen dich die Updates in Ruhe. Die kannst du ja immer noch manuell anwerfen falls das notwendig wird.
Frank E. schrieb: > einen PC mit Windows 10 definitiv auf einen Stand einzufrieren und > diesen dabei trotzdem für Fernwartungszwecke (RDP und VNC) erreichbar zu > halten? Irgendwo wird ja die Verbindung zum Internet über einen Router laufen - es gibt zahlreiche Möglichkeiten dort den Datenfluss zu begrenzen, z.B. auf bestimmte Protokolle oder bestimmte Client Computer Nennt sich Firewall. Vermutlich wird ja die Wartung von ganz bestimmten Systemen aus durchgeführt und nicht von einem Internetcafee in der Karibik, oder doch? Nach der Beschreibung brauchen die Geräte auch keinen Zugriff aufs allgemeine Internet. Wenn die nötigen Daten, Videos usw. lokal gespeichert sind (sollte so sein) und auch die Wartung im Museum durchgeführt wird würde ich garnichts mit dem Internet verbinden. Georg
Es gibt mehrere Möglichkeiten: 1. Update-und Telemetrie-Dienste abschalten: -> Windows Verwaltungsprogramm -> Dienste, und dann - Benutzererfahrung und Telemetrie deaktivieren - Update-Orchestrator-Dienst deaktivieren - Windows-Update deaktivieren 2. Die Netzwerkkarte de facto deaktivieren: -> Netzwerk und Freigabecenter -> Adaptereinstellungen ändern, und dann - Internetprotokoll Version 4, Häkchen entfernen - Internetprotokoll Version 6, Häkchen entfernen
Schaue dir das mal an: https://www.w10privacy.de/ damit deaktiviere ich nach jedem neuen aufsetzten einiges. Vielleicht ist auch W10 Enterprise oder Education eine Option?
Geil, immer wenn man denkt so etwas gibt's doch gar nicht, wird man eines Besseren belehrt. Eine Windows Selbsthilfegruppe. AWG - Anonyme Windows Geschädigte.
Norbert schrieb: > Geil, > immer wenn man denkt so etwas gibt's doch gar nicht, > wird man eines Besseren belehrt. > Eine Windows Selbsthilfegruppe. > AWG - Anonyme Windows Geschädigte. Warum "Geschädigte"? Die wollen doch nur nicht mehr auf dem Laufenden sein, das ist alles.
Schoen zu sehen, keine der "loesungen" hier wird das Problem dauerhaft beheben. @ TO: Such mal ein wenig weiter, dann wirst sogar hier im Forum auch Funktionierendes finden.
Kapp einfach die Internetverbindung der Maschinen.
Moin, - 100Ω W. schrieb: > Kapp einfach die Internetverbindung der Maschinen. Nicht so pfiffig. Wenn der Lizenzcheck nicht funktioniert, bleibt die Maschine mit eingeschraenkter Funktionalitaet stehen (von der eingeschraenkten Fernwartung nicht zu reden :-). Umsteigen auf Win10 Enterprise und Education, dann kannst Du zumindest das Update ein Jahr verzoegern. Gruesse Th.
Selbstgespraeche ... Thomas W. schrieb: > Moin, - > Nicht so pfiffig. Wenn der Lizenzcheck nicht funktioniert, bleibt die > Maschine mit eingeschraenkter Funktionalitaet stehen (von der > eingeschraenkten Fernwartung nicht zu reden :-). 90 Tage ist der Genuine Check. Man kann es umgehen, wenn die Maschine nicht mit dem Internet verbunden ist. Fernwartung ist dann schwierig. Gruesse Th.
Frank E. schrieb: > Dass es sich um Windows-PCs handelt, ist nicht unsere Entscheidung, > soviel vorab. Und in 5 Jahren, wenn wieder eine Windows Neuanschaffung (z.b. Win 11) fällig ist, habt ihr wieder das gleiche Problem. Ich würde sagen, Nägel mit Köpfen machen und auf Debian Linux umstellen, sowie, eventuell notwendige Software dann ersetzen.
Kauft euch ne Beere, setzt ein Proxy auf, und sagt dem einfach er soll MS blockieren. Schon bildet sich MS ein es ist Offline und alles ist gut. Dann muss die Beere nur noch ein VPN haben und das war's.
WSUS. Damit dann die Update-Zeitpunkte selber planen, und zu passender Zeit einspielen. Oliver
Schlaumaier schrieb: > Schon bildet sich MS ein es ist Offline und alles ist gut. Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber irgendwann will W10 den Lizenzcheck unbedingt machen und wenn es dann immer noch nicht funktioniert, funktioniert alles nur noch im eingeschränkten Modus. Verstehst du das unter "und alles ist gut"?
Oliver S. schrieb: > WSUS. Damit dann die Update-Zeitpunkte selber planen, und zu > passender > Zeit einspielen. > > Oliver Das ist die vernünftigste Lösung.
realist schrieb: > Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber > irgendwann will W10 den Lizenzcheck unbedingt machen Wenn kein Internet verfügbar ist, macht W10 das nicht.
bingo schrieb: > realist schrieb: >> Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber >> irgendwann will W10 den Lizenzcheck unbedingt machen > > Wenn kein Internet verfügbar ist, macht W10 das nicht. Die geforderte Fernwartung? Gruesse Th.
realist schrieb: > Verstehst du das unter "und alles ist gut"? Eigentlich ja, weil es löst das Problem den TO. ;) Weil er kann dann selbständig den Zeitpunkt bestimmen. Ist immer hin etwas. Aber wenn ich mich recht erinnere kann man die Updates doch auf die Nacht verlegen. ?? Da sind doch einige Funktionen in W-10 drin. Müsste nachschauen. Jedenfalls hat mein W-10 neulich irgend so was mir erzählt. Bin mir aber nicht mehr ganz sicher. Wenn ich recht habe, würde ich einfach ein Zeitscript laufen lassen was den Rechner jeden Morgen um X-Uhr neu startet. Hab gegoogelt. https://www.windows-faq.de/2017/03/30/installationszeit-neustartzeit-der-windows-10-updates-planen-und-die-nutzungszeit-einstellen/ Wenn man diese Funktion nutzt und Notfalls mit der Beere verknüpft solle man das Problem jedenfalls halbwegs im Griff haben.
Thomas W. schrieb: >> Wenn kein Internet verfügbar ist, macht W10 das nicht. > > Die geforderte Fernwartung? Werden ausgehende Verbindungen in Router oder Firewall blockiert, und es gibt auch keinen Proxy daran vorbei, dann gibt's kein Internet. Netzinterne Verbindungen sind davon nicht betroffen.
Windows Embedded gibt es auch noch, heisst nur ständig anders und ist nur über Distris zu beziehen.
(prx) A. K. schrieb: > Thomas W. schrieb: >>> Wenn kein Internet verfügbar ist, macht W10 das nicht. >> >> Die geforderte Fernwartung? > > Werden ausgehende Verbindungen in Router oder Firewall blockiert, und es > gibt auch keinen Proxy daran vorbei, dann gibt's kein Internet. > Netzinterne Verbindungen sind davon nicht betroffen. Das müsste man testen, ggf. w.o. die Update-Dienste deaktivieren.
Nano schrieb: > Ich würde sagen, Nägel mit Köpfen machen und auf Debian Linux umstellen, > sowie, eventuell notwendige Software dann ersetzen. Wäre eine gute Idee, ist aber leider nicht immer möglich... Neulich gabs beim Update von 17 identischen Notebooks (Seminarnotebooks, also wirklich alle gleiche HW und gleich eingerichtet) von 1903 auf 20H2 bei genau einem ein Problem. 20H2 war zwar dann drauf, aber nachfolgende Updates gingen nicht mehr (0x8000ffff). Die Problembeseitung ging leider auch nicht mehr und lieferte mal wieder eine Super Anekdote. Der Rollback auf 1903 ging, aber jetzt will das NB nichts mehr mit 20H2 zu tun haben und bietet mir die Möglichkeit gar nicht mehr an.
Georg A. schrieb: > aber jetzt will das NB nichts mehr mit 20H2 zu tun haben und bietet mir > die Möglichkeit gar nicht mehr an. Das nennt man künstliche Intelligenz. Beim ersten Mal Finger verbrannt...
:
Bearbeitet durch User
Bei Windows 10 pro kann man doch in den lokalen Gruppenrichtlinien die Updates deaktivieren. Reicht das nicht? So hab ich das bei meinem HTPC gemacht. Da ist Ruhe und wenn ich mal Zeit habe, aktualisiere ich manuell.
Beitrag #6771549 wurde vom Autor gelöscht.
Georg A. schrieb: > Nano schrieb: >> Ich würde sagen, Nägel mit Köpfen machen und auf Debian Linux umstellen, >> sowie, eventuell notwendige Software dann ersetzen. > > Wäre eine gute Idee, ist aber leider nicht immer möglich... > > Neulich gabs beim Update von 17 identischen Notebooks (Seminarnotebooks, > also wirklich alle gleiche HW und gleich eingerichtet) von 1903 auf 20H2 > bei genau einem ein Problem. 20H2 war zwar dann drauf, aber nachfolgende > Updates gingen nicht mehr (0x8000ffff). Die Problembeseitung ging leider > auch nicht mehr und lieferte mal wieder eine Super Anekdote. Der > Rollback auf 1903 ging, aber jetzt will das NB nichts mehr mit 20H2 zu > tun haben und bietet mir die Möglichkeit gar nicht mehr an. So etwas kenne ich. Bei meiner alten Win 7 Installation habe ich immer regelmäßig und zügig ganz normal geupdated bis irgendwann ein Fehler kam, der dazu führte, dass ich nicht mehr updaten konnte. Und der Rollback funktionierte war, aber der Fehler trat dann gleich wieder auf, nach dem ich diesen Rollback dann versuchte upzudaten. Das Problem war somit nicht auf normalem Wege lösbar. Im Prinzip ging es nur mit Neuinstallation, aber da sowieso ein Wechsel zu Win 10 anstand, habe ich es dann gleich Win10 installiert.
Schlaumaier schrieb: > Hab gegoogelt. > > https://www.windows-faq.de/2017/03/30/installationszeit-neustartzeit-der-windows-10-updates-planen-und-die-nutzungszeit-einstellen/ Zwar im Prinzip noch gültig, aber 2017? Zusätzlich kann man Update für 7 Tage hinausschieben.
Schlaumaier schrieb: > Ich würde einfach ein externe Server(chen) dazwischen schalten das alle > Anfragen von / nach MS abfängt. Schlaumaier schrieb: > Kauft euch ne Beere, setzt ein Proxy auf, und sagt dem einfach er soll > MS blockieren. Schon bildet sich MS ein es ist Offline und alles ist > gut. Schlau, wie Du nun mal bist, sagst Du uns gerne, was man einrichten muß, um M$ zu sperren. Du hast bestimmt eine zuverlässige Tabelle, welche Namen und welche IPs Windowsupdate aufruft und stellst uns diese gerne zur Verfügung. Oder war das wieder nur heiße Luft? Frank E. schrieb: > einen PC mit Windows 10 definitiv auf einen Stand einzufrieren und > diesen dabei trotzdem für Fernwartungszwecke (RDP und VNC) erreichbar zu > halten? Kannst Du eingrenzen, wer Fernwartung macht bzw. aus welchem IP-Bereich die erfolgt? Denke ich weiter: RDP und VNC sind für die Clients kommende Verbindungen, da müssen also vom Internet aus kommende Verbindungen zugelassen sein, ein nettes Risiko. Unsere Kunden (Sicherheitssysteme) ziehen generell den Stecker und lassen Internet nur zu, wenn eine Fernwartung abgesprochen ist. In Deinem Fall denke ich, einen erwachsenen Router so einrichten zu können, dass die W10 keine Internetverbindungen aufbauen können, aber trotzdem erreichbar sind und ggfs. die Erreichbarkeit auf gewisse IP-Bereiche beschränkt ist. Wenn ich oben lese mehrere PCs , die von extern per RDP zu erreichen, muß doch ein IT-Fachmann im Spiel sein.
michael_ schrieb: > Zusätzlich kann man Update für 7 Tage hinausschieben. Bei mir geht das sogar bis zu 35 Tagen.
Manfred schrieb: > Du hast bestimmt eine zuverlässige Tabelle, welche Namen und welche IPs > Windowsupdate aufruft und stellst uns diese gerne zur Verfügung. > > Oder war das wieder nur heiße Luft? Nein habe ich nicht. Weil ich sie nicht brauche, und mir das zu unsicher ist. Ich würde es anders herum machen, wie jeder guter Admin. Einfach gesagt ich würde nur den Seiten/Adressen Zugang zum Netz eben, den ich traue über den Proxy. Dieses Vorgehen ist in vielen Firmen üblich. Aber ich habe gerade mal gegoogelt. Es gibt da ne feine Seite bei Heise. https://www.heise.de/tipps-tricks/Windows-10-Automatische-Updates-deaktivieren-3971647.html Bis einschließlich Win-7 weiß ich aus eigener Erfahrung das es meist reicht den Update-Dienst zu deaktivieren. K.a. ob es da bei Win-10 eine Hintertür gibt das der sich selbst wieder aktiviert.
Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch getrennten Intranet hängen. Ich habe miterlebt, was passiert, wenn mans anders macht.
Thomas W. schrieb: > bingo schrieb: >> realist schrieb: >>> Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber >>> irgendwann will W10 den Lizenzcheck unbedingt machen >> >> Wenn kein Internet verfügbar ist, macht W10 das nicht. > > Die geforderte Fernwartung? VNC & RDP klingt erstmal nicht nach einer Fernwartung via Internet. Meine persönliche (laienhafte) Lösung wäre entweder eine passend konfigurierte Firewall oder halt die Dinger in ein eigenes LAN stecken samt Rechner, der in diesem und dem "normalen" LAN steckt zwecks Fernwartung.
:
Bearbeitet durch User
Helge schrieb: > Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch > getrennten Intranet hängen. Ich habe miterlebt, was passiert, wenn mans > anders macht. Frank E. schrieb: > elektronische Exponate in einem Museum, Da wird eine Slideshow, Videoplayer o.Ä. laufen, kein Webbrowser auf zweifelhaften Seiten oder Mailprogramm mit "alle Attachments ausführen"-Option. Insofern ist die Angriffsoberfläche da schon recht gering. Der Thread-Titel ist halt ungünstig gewählt. Stände da statt >> "Win10: Updates endgültig und sicher abschalten?" eher >>"Win10: endgültig unsicher machen und Updates abschalten" würde die Diskussion ob er auch überblicken kann was er da vorhat schon etwas eingehegt.
Natürlich ist es sinnvol W10 davon abzuhalten sich kaputt zu updaten. Aber niemand schein das zu können/wollen? Eine geniale Geschäftsidee etwas zu verkaufen, es dann so lange zu beschädigen bis das neuere verkauft werden kann.
Ok, danke für die Tips. Langfristig scheint der Umstieg auf Linux wohl die bessere Wahl ... (meist werden in Processing geschriebene Programme verwendet, das sollte auch unter Linux laufen). Vorher werde ich mal wieder bei ReactOS vorbeisehen. Kurzfristig versuche ich es mit den diversen Einstellungen ... inzwischen läuft das System wieder, war gestern nur frustig, weil es gerade stockte.
A. H. schrieb: > Natürlich ist es sinnvol W10 davon abzuhalten sich kaputt zu updaten. Die wahre Kunst ist, festzustellen, ob Systemupdates die Lage verbessern oder verschlechtern, und zwar mit Blick auf die Zukunft. Das ist eine echte Marktlücke, damit könntest du viel Geld verdienen.
realist schrieb: > Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber > irgendwann will W10 den Lizenzcheck unbedingt machen und wenn es dann > immer noch nicht funktioniert, funktioniert alles nur noch im > eingeschränkten Modus. Mach ich irgendwas falsch das ich mehrere W10-Maschinen seit Jahren offline betreibe, ohne das die meckern??? Andere laufen auf einem LAN, der Router lässt nur die Fernwartung rein und erlaubt NTP, so hat die Kiste eine aktuelle Zeit und ist ansonsten zwar im LAN, kann aber nichts machen. O&O kann mit ShutUp10 (Deutsche Freeware unter https://www.oo-software.com/de/shutup10) den Update deaktivieren (und noch einiges mehr) und dann klappt das m.E. auch ohne Routertricks. Es gibt (gab?) auch irgendwo ein Programm, das den Aktivitätszeitraum immer aktualisierte, so das Windows meinte, jetzt wäre ein schlechter Zeitpunkt für Updates. So wurden wenigstens die automatischen Updateneustarts verhindert.
hallo (prx) A. K. schrieb: > Die wahre Kunst ist, festzustellen, ob Systemupdates die Lage verbessern > oder verschlechtern, und zwar mit Blick auf die Zukunft. Das ist eine > echte Marktlücke, damit könntest du viel Geld verdienen. Das genau sollte aber Microsoft (deren Beauftragte) selbst leisten - klar alles kann man gar nicht abdecken da streng genommen jedes System anders ist, aber: Die "Klopse" die sie sich immer wieder mal leisten (obwohl es schon wesentlich schlimmer Zeiten vor Win 10 gab - Win 98 empfinde wohl nicht nur ich zurückwirkend gesehen als traurigen Spitzenreiter) dürfen einfach nicht vorkommen - lieber das Update eine Woche später herausbringen dafür aber dann recht sicher sein das es bei mehr als 99% der Nutzer keine Probleme geben wird. Aber so ganz unschuldig sind "wir" als Gesamtheit der Nutzer daran auch nicht: Für viele (eher weniger hier, aber wir sind auch recht speziell) sind Updates ein Qualitätsmerkmal und werden sehr gerne gemacht bzw. gesehen aber auch "die" Massenmedien (damit meine ich nicht kleiner nur im Netz vorhandene Fachkundige Medien, sondern schon so was wie ARD ZDF und die Privaten TV Sender) tragen mit ihren immer wieder auftauchenden "Katastrophenmeldungen" und "Warnhinweise" ihren Teil bei das Updates heraus gehauen werden... Praktiker
Jens M. schrieb: > Mach ich irgendwas falsch das ich mehrere W10-Maschinen seit Jahren > offline betreibe, ohne das die meckern??? Ich muss meine Aussagen revidieren. Asche auf mein Haupt! W10 kann man selbstverständlich offline laufen lassen. Auch dauernd...
Bau eine Firewall dazwischen, die den ausgehenden Verkehr komplett blockiert. Für die Fernwartung verbindest Du Dich einfach per VPN mit der Firewall. Und dann per RDP oder VNC direkt mit den entsprechenden Computern. Es muß auf der Firewall lediglich eine Regel existieren, die eine Verbindung vom VPN-Netz zum LAN der Rechner zuläßt. So etwas leisten auch OpenSourceFirewalls, die auch auf leistungsschwacher Hardware laufen.
Weil's thematisch schön zum unsicheren "Windows 10 Ausstellungsstück" im Museum passt: https://xkcd.com/350/
Praktiker schrieb: > Für viele (eher weniger hier, aber wir sind auch recht speziell) sind > Updates ein Qualitätsmerkmal Updates sind ein Qualitätsmerkmal eines Software-Herstellers, weil die Komplexität nicht fehlerfrei machbar ist und es wahrlich genug Spezln gibt, deren Einkommensmodell aus der Ausnutzung von Fehlern besteht. Aber neben dem Segen sind sie auch Fluch. Der Fall eines Gerätes, das in keinem Netz hängt, ist heute nicht mehr so häufig. Selbst völlig isolierte Netze können zum Problem werden, sobald sich ein Servicetechniker mit seinem Laptop in dieses Netz einklinkt. Siehe vor wenigen Jahren in China, wo es viele Tankstellen und Geldautomaten betraf.
Schlaumaier schrieb: > Ich würde einfach ein externe Server(chen) dazwischen schalten das alle > Anfragen von / nach MS abfängt. Nennt sich Firewall. Obwohl ein Managed Switch wahrscheinlich schon reichen sollte. Der Rechner muss einfach nur vom Internet abgetrennt werden.
bingo schrieb: > probier mal, ob die Software mit Linux und Wine läuft Das macht ja mal überhaupt keinen Sinn, die Software ist in Processing geschrieben. https://processing.org/ https://de.wikipedia.org/wiki/Processing
Helge schrieb: > Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch > getrennten Intranet hängen. Dann kannst du die Geräte gar nicht mehr fürs Internet nutzen. Ein separates VLAN bzw. der Gastzugang ist dagegen ein IMO akzeptabler Kompromiss. Dann kann man mit dem Handy während dem Frühstücken dann auch Youtube schauen. > Ich habe miterlebt, was passiert, wenn mans > anders macht. Erzähl mal. Was passierte darauf genau?
Nano schrieb: > Helge schrieb: >> Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch >> getrennten Intranet hängen. > > Dann kannst du die Geräte gar nicht mehr fürs Internet nutzen. > Ein separates VLAN bzw. der Gastzugang ist dagegen ein IMO akzeptabler > Kompromiss. > Dann kann man mit dem Handy während dem Frühstücken dann auch Youtube > schauen. > >> Ich habe miterlebt, was passiert, wenn mans >> anders macht. > > Erzähl mal. Was passierte darauf genau? @Helge Sry, war der falsche Thread. Dachte das hier wäre der Handy Thread. Kannst obiges Kommentar also ignorieren. Ein Windows, dass nie mehr Updates erhält, sollte natürlich niemals mehr ins Internet. Da bin ich ganz deiner Meinung.
Εrnst B. schrieb: > Das macht ja mal überhaupt keinen Sinn, die Software ist in Processing > geschrieben. Ich hoffe, du meinst Wine? Denn dass Processing sehr wohl unter Linux läuft, wurde schon geschrieben.
Was ist mit OOshutup? O&O ShutUp10 ermöglicht es Ihnen, selbst die Kontrolle darüber zu haben, welche Komfortfunktionen von Windows 10 Sie nutzen möchten und welche Datenweitergabe Ihnen zu weit geht. https://www.oo-software.com/de/shutup10
realist schrieb: > Εrnst B. schrieb: >> Das macht ja mal überhaupt keinen Sinn, die Software ist in Processing >> geschrieben. > > Ich hoffe, du meinst Wine? > Denn dass Processing sehr wohl unter Linux läuft, wurde schon > geschrieben. Eben. Darum macht es keinen Sinn, Processing (und damit auch Java) unter Wine laufen zu lassen. https://processing.org/download/ .tgz für Linux runterladen, entpacken, fertig.
Oliver S. schrieb: > WSUS. Damit dann die Update-Zeitpunkte selber planen, und zu passender > Zeit einspielen. > > Oliver +1 Alles andere ist sinnfreis Gebastel mit dem man sich ggf. wieder andere Probleme rein holt. Ein WSUS Server hat auch den Vorteil das man Updates erstmal gegenprüfen kann bzw deren ausrollen erstmal stoppen kann bis man sicher ist das alles weiter läuft. Der einzige Nachteil an WSUS ist das man eine Windows Maschine dafür braucht. Gibt zwar Möglichkeiten das ganze auf einem Linux Server laufen zu lassen, aber das ist auch wieder wie von hinten durchs Auge im Ohr zu pulen...
Praktiker schrieb: > (prx) A. K. schrieb: >> Die wahre Kunst ist, festzustellen, ob Systemupdates die Lage verbessern >> oder verschlechtern, und zwar mit Blick auf die Zukunft. Das ist eine >> echte Marktlücke, damit könntest du viel Geld verdienen. In großen Firmen gibt es "vorab Systeme" die genau die Norm-Konfiguration der Firmen-Rechner hat. Da installieren die Admins dann die Updates drauf. Dann wird getestet und wenn das dann läuft wird über den Update-Server der Firma besagtes Update freigegeben. Die Marktlücke ist leider keine. Der Grund ist, das bei JEDEN Update von MS einige Rechner Probleme bekommen. Ab so geschätzt 10.000 Stück weltweit, hört man dann im Netz davon. Aber diese besagten Rechner habe bestimmte Konfiguration Einstellungen Hardware die die Probleme auslösen. Und das ist wie Schachspielen. Am der 4 Abweichungen sind die Anzahl der Möglichkeiten schon gigantisch. Die Marktlücke wäre und die wird auch schon oft praktiziert, die System wieder ans laufen zu bringen OHNE sie neu aufzusetzen. Wobei das eine Frage der Kosten=Zeit/Nutzen wäre. Cyblord -. schrieb: > Schlaumaier schrieb: >> Ich würde einfach ein externe Server(chen) dazwischen schalten das alle >> Anfragen von / nach MS abfängt. > > Nennt sich Firewall. Obwohl ein Managed Switch wahrscheinlich schon > reichen sollte. > Der Rechner muss einfach nur vom Internet abgetrennt werden. JA + NEIN von der Funktion her JA. Das Problem ist. Läuft die Firewall auf den selben System was ich blockieren will, dann ist es 0 Problem für das System diese zu blockieren. Es gab vor einigen Jahren (können was mehr sein, man hat mir ja schon vorgeworfen das ich mich um ein paar Jahre oft vertue) Stress zwischen MS + den Sicherheitssoftware-Hersteller. Das Endergebnis war, das MS eine Systemschnittstelle zur Verfügung stellte wo sich die Hersteller "einhängen" können. Und genau DA liegt das Problem. Sende ich eine Info an dieser Schnittstelle vorbei, hilft die FIREWALL 0.nix. Setze ich aber ein Server(chen, weil da reicht eine Beere) als Man-in-the-Middle ein, kann mir das Kernel des Windows-OS völlig egal sein. Der schickt nur Daten und ein Linux-System lässt sich wohl kaum von irgend welchen Anweisungen von MS beeindrucken. So hoffnungsvoll bin ich mal. Ergo. Eine Firewall muss auf einen externen System mit fremden OS laufen, damit sie ihre voll Wirksamkeit entfaltet. Und genau DAS habe ich gemeint.
Frank E. schrieb: > Ok, danke für die Tips. Langfristig scheint der Umstieg auf Linux wohl > die bessere Wahl ... Wenn man nicht Willens oder in der Lage ist, die Netzwerktopologie zu beschreiben und zu definieren, wer wann von wo auf was zugreifen soll, ist natürlich Windows schuld. Das ganze Szenario dürfte mit einem Router (nicht Fritz!) zügig zu reglen sein - wenn man denn weiß, wer wann von wo auf was ... Ein möglicher Weg wäre auch, Schlaumaier und Nano als Expertenteam anzuheuern, zu deren Unterstützung noch schuchkleisser und alles wird gut.
Manfred schrieb: > Frank E. schrieb: >> Ok, danke für die Tips. Langfristig scheint der Umstieg auf Linux wohl >> die bessere Wahl ... > > Ein möglicher Weg wäre auch, Schlaumaier und Nano als Expertenteam > anzuheuern, zu deren Unterstützung noch schuchkleisser und alles wird > gut. Rudi Ratlos als CEO! Th.
Manfred schrieb: > Ein möglicher Weg wäre auch, Schlaumaier und Nano als Expertenteam > anzuheuern, zu deren Unterstützung noch schuchkleisser und alles wird > gut. "michael_" hast Du vergessen ;-)
Ich mach da nur mit wenn Manfred der Teamleiter wird. :D
Schlaumaier schrieb: > Läuft die Firewall auf den selben System was ich > blockieren will, Das ist Müll; zwar besser als nichts, aber nicht wirklich gut. Eine Firewall, die diesen Namen verdient, ist immer ein eigenes (gehärtetes) System, das auf eigener Hardware läuft. Selbst eine Firewall auf einer virtuellen Maschine ist ein Sicherheitsrisiko, da die Exploits des Hypervisors evtl. ausgenutzt werden könnten. Geht übrigens auch hinter der geliebten Fritzbox... Und kostet fast nichts, FW-Software als OSS verwenden und einen alten Rechner, dem man eine zusätzliche Netzwerkkarte spendiert (100MBit reicht, <= 10 Euro). Und natürlich einige Stunden Einarbeitungszeit.
kleiner Admin schrieb: > Geht übrigens auch hinter der geliebten Fritzbox... Und kostet fast > nichts, FW-Software als OSS verwenden und einen alten Rechner, dem man > eine zusätzliche Netzwerkkarte spendiert (100MBit reicht, <= 10 Euro). > Und natürlich einige Stunden Einarbeitungszeit. Kostet zu viel Strom. Deshalb habe ich ja eine Beere als alternative vorgeschlagen. Eine Beere 4.0 kostet ca. 60 Euro nackt und reicht völlig aus. Die SD-Karte dazu bekomme ich sogar aktuell geschenkt wenn ich das will. Lt. Newsletter heut morgen. ;)
Schlaumaier schrieb: > Das Problem ist. Läuft die Firewall auf den selben System was ich > blockieren will Ich meinte damit auch eine Hardware-Firewall, darum auch mein Einwand mit dem Managed Switch, der schon ausreichen könnte weil man sowieso nur komplett abtrennen will. Letzlich ist eine Firewall auch nichts anderes als ein Switch (Level 2) + Router (Level 3) + Rules.
> kostet zu viel Strom Scheint ja eine Museumslösung zu sein und dann ist das völlig egal - der Strom kommt aus der Steckdose... > managed Switch Wäre auch eine Möglichkeit, aber dann ginge nur "an" oder "aus" und man müßte sich remote auf den Switch verbinden können. Wenn der Switch extra gekauft werden müßte, dann rentiert sich das vermutlich nicht.
kleiner Admin schrieb: > aber dann ginge nur "an" oder "aus" und man > müßte sich remote auf den Switch verbinden können. Das würde dann aber bedeuten - ich will was machen - Einwählen auf den Switch - Port von "blocked" auf "full" umschalten - Einwählen auf die Maschine - Feststellen, das die gerade gemerkt hat das sie Internet hat und jetzt gerade erst mal 49 Updates lädt und ungefragt installiert - Gerade wenn man selber was machen will sind CPU, Festplatte und Netzwerk am Limit - Na egal mach ich später - entweder laufen lassen -> später Ärger weil irgendwas nicht klappt - oder wieder sperren -> später Ärger weil irgendwas unterbrochen wurde Nur mit einem Switch wird das nix. Da muss ein Router bzw. eine Firewall mit Port- und/oder IP-Sperre rein.
Nun, es gibt Switches, die durchaus Level 3 Fähigkeiten haben. 😉 Ich gehe aber davon aus, daß das kein gangbarer Weg ist, weil es nur wenige Netzwerkadmins geben dürfte, die gerne "Externe" an den Switches herumkonfigurieren lassen. Deshalb hatte ich ja vorgeschlagen: kleiner Admin schrieb: > Bau eine Firewall dazwischen, die den ausgehenden Verkehr komplett > blockiert. > > Für die Fernwartung verbindest Du Dich einfach per VPN mit der Firewall. > Und dann per RDP oder VNC direkt mit den entsprechenden Computern. > > Es muß auf der Firewall lediglich eine Regel existieren, die eine > Verbindung vom VPN-Netz zum LAN der Rechner zuläßt. > > So etwas leisten auch OpenSourceFirewalls, die auch auf > leistungsschwacher Hardware laufen.
kleiner Admin schrieb: > durchaus Level 3 Das ist dann eher ein Router, der einen besseren Switch beinhaltet als es der normale Router tut. ;)
Jens M. schrieb: > Das ist dann eher ein Router, der einen besseren Switch beinhaltet als > es der normale Router tut. ;) Layer 3 Switches sind längst ziemlich normal.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.