Festplattenverschlüsselung in Computerraum-PCs

[Oscar_]

So zum Einstieg vielleicht eine Behörde mit 5000 Clients, viel Spaß.

Genau, 5000 Leute Schulen in LPIC 1.

 

[rollmoped]

Es geht hier darum,

an die 20 Desktop-PCs in einem Computerraum stehen, die nun "zu alt" für ein Win11-Update sind

, aber sonst noch einwandfrei funktionieren, mit Linux weiterzubetreiben und somit auch den Schülern die Möglichkeit zu bieten, über den Tellerrand zu sehen. Es geht nicht um 5000 Clients in einer Behörde.

Update: Das könnte von Interesse sein: https://veyon.io/de/

 

[Uzer1510]

@K3ks Vielleicht sollte ich noch ergänzen, dass diese Rechner einmal pro Halbjahr genutzt werden, um neue Kurse ins System einzutragen, wobei die Schüler einen Haufen persönlicher Daten in ein Webformular eintragen. Ändert das was an der Einschätzung?

Naja die Daten werden ja dann sicher nicht lokal gespeichert sondern auf dem Gerät auf dem der Webserver läuft.

Ich denke dass 99% der IT Sachen heute doch eh plattformunabhängiig sind egal ob Windows, Apple, Android, Linux. Linux ist schon ein sinnvoller Weg ist - vor allem in 2025 gibt es doch kaum mehr Nachteile?

Und wenn die Schüler ins Arbeitsleben kommen hat sich eh alles wieder etwas verändert - es geht doch sowieso nur darum die Grundprinzipien zu lernen. in 5 oder 10 Jahren ist evtl alles Cloud etc wer weiss das schon.

Und wie das Startmenü von Windows 12 und 13 aussehen... wird bestimmt gruselig - öh nein diesmal ganz ganz dolle

Für den Schul IT Lern Bereich gibt es auch Microsoft Code in Linux - das doch auch nicht so schlecht.

Super ist halt eine Linux Installation kann man von jedem der 20 Rechner in jedem nutzen, kopieren, sichern - da muss man eigentlich auf nichts achten wenn die sich halbwegs ähnlich siind.

 

[Photon]

Vielleicht habe ich das überlesen, aber:
Was ist das für eine Schule?

Kann da leider nicht zu konkret werden, weil man sonst auf die exakte Schule schließen kann.

Wie groß ist die Schule?

Ca. 30 Lehrer und ca. 300 Schüler. Geht aber nur um die ca. 20 PCs im Computerraum. Es sind noch einige weitere PCs da, die nicht mit Win11 können, aber da müssen wir wohl in den sauren Apfel beißen und neue Hardware für Win11 anschaffen, denn die Leitung und das Sekretariatsteam werden kaum von MS Office und Outlook abrücken. Außerdem muss auf den meisten dieser PCs spezielle Software, die nur für Windows vorhanden ist, laufen.

Ich habe zwischendurch mehrere Berufskollegs betreut und ab einer gewissen Größe ist da meist ein Server mit "von Microsoft gesponserten" Windows Server und Terminal Lizenzen. Für stärkere Kundenbindung bekommt man da meist Volumenlizenzen von allem und tausende M365 Lizenzen inklusive Office und Windows.

Wir haben tatsächlich einen Server, der versorgt aber nur das Verwaltungsnetz, das auf Win11 hochgezogen werden muss (siehe etwas weiter oben), während das pädagogische Netz nicht mit dem Server verbunden ist. Es gibt im pädagogischen Netz nur ein paar Netzwerk-Shares für Datenaustausch, die aber kaum benutzt werden (zumindest kenne ich niemanden, der sie benutzen würde), davon abgesehen sind die PCs im pädagogischen Netz jeweils autark.

Die Sache mit den kostenlosen Office-Lizenzen haben wir in irgendeiner Form auch. Weiß aber nicht so genau, wie das ausgestaltet ist, da kennt sich mein Kollege besser aus. Ich glaube, wir haben Office 2016 Lizenzen für die Rechner im Computerraum gekauft und kriegen dafür kostenlos Lizenzen fürs Kollegium oder so ähnlich. Vielleicht irre ich mich aber auch, was das angeht.

Von einer Windows 11 Installation mit Umgehung des TPM Chip würde ich eher abraten, da niemand sagen kann, wie lange man damit noch Updates bekommt. Teils mussten da für "Funktionsupdates" (z.B. 23H2 auf 24H2) alle PCs mit ISO geupdated werden. Das will sich doch niemand freiwillig antun.

Guter Einwand! Ich glaube, 24H2 braucht SSE 4.2 oder so, also einen bestimmten CPU-Instruktionsset, den unsere Geräte sogar noch hätten, aber ja, keine Ahnung, was MS als Nächstes für alte Zöpfe abschneidet, während Linux noch für 32 Bit Prozessoren zu kriegen ist, die seit 20 Jahren nicht mehr produziert werden...

Über Verschlüsselung würde ich mir auch keine Gedanken machen. Auf den PCs sollte nichts gespeichert werden.

Genau, wir wollen die Rechner im Computerraum im Gastnutzer-Modus betreiben, bei dem während einer Sitzung beliebig Dateien im Home-Verzeichnis geschrieben werden können, beim Abmelden aber alles auf den Ausgangszustand zurückgesetzt wird.

Wie werden eigentlich aktuell die Zugangskonten verwaltet? Lokale User oder über Anmeldeserver? Allgemeine Benutzer oder personalisierte Schülerkonten?

Ein einziger lokaler Nutzer, nicht personalisiert. Mittels HDguard wird alles quasi im Gastnutzer-Modus betrieben, also auch unter Win10 werden schon im Computerraum keine Daten dauerhaft gespeichert. Fürs dauerhafte Speichern haben wir eine Cloud, die wiederum personalisiert ist (bevor alle schreien, eine datenschutzkonforme Cloud, die uns zusammen mit einer OnlyOffice-Instanz vom KuMi zur Verfügung gestellt wird).

Ist es vielleicht auch eine Alternative, wenn euer DL die Planung übernimmt und ihr die Umsetzung und Wartung übernehmt?

Ja, wir besprechen solche Projekte mit dem DL und nehmen hilfreiche Tipps auf jeden Fall auf, unter Umständen sagen wir auch, der DL soll das selbst machen, wenn es uns zu viel wird -- wir sind ja auch nur Lehrer, die das alles nebenher machen müssen. Eigenlob stinkt, aber ich würde behaupten, dass wir einigermaßen proaktiv sind und Projekte vorschlagen und umsetzen, die wir für sinnvoll halten, so wie etwa aktuell die Geschichte mit den Linux-Rechnern im Computerraum, zugleich aber auch von der Leitung zu nichts gezwungen werden.

Nein, MS laesst dieses Schlupfloch - zumindest rechtlich - nicht offen. Denn LTSC ist explizit nicht fuer den normalen Desktopbetrieb lizensiert.

Alles klar, danke für die Klarstellung, dann fällt dieser "Hack" schon mal flach!

Update: Das könnte von Interesse sein: https://veyon.io/de/

Haben wir tatsächlich schon auf unserer Liste, aber danke trotzdem für den Tipp!