cubi 10 Geschrieben 12. Februar 2007 Melden Teilen Geschrieben 12. Februar 2007 Hi zusammen, wir haben hier ein W2K3 AD. Die 250 Clients werden bei der Anmeldung mit Logonscripts und Gruppenrichtlinien bearbeitet. Nun ist aus purem Zufall herausgekommen, dass einige User ihre privaten Notebooks in die Firma nehmen, ans Netz hängen und ohne Antivirus herumsurfen, jede beliebige Software auf ihrem Rechner installiert haben etc. Mindestens einer dieser User ist dabei besonders sorgfältig vorgegangen: Er hat sein Firmenlaptop angeschlossen, sich die IP Adresse aufgeschrieben, die auf seinem Privatrechner fest eingetragen, seinen Rechner wie den Firmenrechner genannt, die Arbeitsgruppe wie unsere Domänen genannt und obendrein seinen Rechner für die Netzwerkumgebung unsichtbar gemacht. Als Sahnehäubchen hat er sogar die MAC Adresse angepasst - das Ganze auch noch voll komfortabel per VBscript... Meine Aufgabe ist es nun, ein solches Verhalten zumindest zu entdecken (ansonsten kann ich mir jede Abmahndrohung sparen) - ich weiss nur nicht, wie. Ich habe mir zuerst die Ereignisanzeige angesehen, glaube aber nicht so recht, dass ich damit weiterkomme: Bei jedem Zugriff auf eine Dateifreigabe finde ich einen Eintrag mit Usernamen und IP Adresse des Clients. Der Client selbst generiert aber nur beim Hochfahren einen Eintrag. Wenn nun wie oben beschrieben der Firmenrechner hochfährt, vom Netz getrennt und durch den Privatrechner ersetzt wird, bekomme ich das nicht mit. Hat einer eine Idee, wie ich da weiterkomme? Wenn es sein muss, kaufe ich auch teure Zusatzsoftware, die Lösung sollte nur eben auch von einem Kollegen mit Hackerqualitäten nicht so ohne weiteres aushebelbar sein. ratlos cubi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Februar 2007 Melden Teilen Geschrieben 12. Februar 2007 Es gäbe da die Möglichkeit, so dass die Switche unterstützen, mit 802.1x Authentifizierung zu arbeiten. Aber dazu braucht man eine Zertifizierungsstelle, diverse Zertifikate, und man sollte einiges an Ahnung von der Materie haben, sowie eine gute Planung des Ganzen vornehmen. Andereseites, ist aber n der Planung und der Ahnug auch nicht ohne, den Zugriff auf Server mit IPsec (AH oder ESP) schützen. Hat den Vorteil, dass man das alles per GPO regeln kann, und anstatt Zertifikate geht auch die Kerberos Authentifizierung. Ohne Kerberos Tickets für die Clients geht dann icht, und das bekommt nur ein Client, der ein Computerkonto im AD hat. Wie gesagt, das ist aber auch was, was gut geplpant sein will. grizzly999 Zitieren Link zu diesem Kommentar
cubi 10 Geschrieben 12. Februar 2007 Autor Melden Teilen Geschrieben 12. Februar 2007 und man sollte einiges an Ahnung von der Materie haben, sowie eine gute Planung des Ganzen vornehmen. grizzly999 Jo, ich hatte schon gehofft, das ein bisschen weniger aufwendig erschlagen zu können - zumal mir bei 802.1x die vier Macs in der Werbeabteilung wars***einlich die grössten Sorgen machen werden. Ist mein Problem denn wirklich so ungewöhnlich? Ist das allen anderen Firmen auf der Welt denn so egal? sich die Schuppen aus den Haaren schüttelnd cubi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Februar 2007 Melden Teilen Geschrieben 12. Februar 2007 Jo, ich hatte schon gehofft, das ein bisschen weniger aufwendig erschlagen zu können - zumal mir bei 802.1x die vier Macs in der Werbeabteilung wars***einlich die grössten Sorgen machen werden. 802.1X hat nichts mit MAC-Adressen zu tun. Da geht es um eine Preauthentication des Computers bevor er auf das Netzwerk Zugriff erhält. Das funktioniert über Computerzertifikate, nicht über MAC. Dei eine oder andere Frima hat womöglich schon auch dieses Problem, aber es lässt sich - wie du selber sehen musst - nicht einfach dadurch lösen, dass man sagt "Der da aber nicht". Du hast es doch selber oben beschrieben, woran soll sich "Der da" festmachen, wenn an MACs und IPs spoofen kann. Zertifikate oder Kerberos Ticket sind da ein probates Mittel. Sehr oft reicht aber schon eine Organsiationsanweisung, gestützt und gestärkt durch eine Unterschrift von jemanden weit oben, die festlegt: Das und das ist nicht, und wer dagegen verstößt, ..... Das könnte man auch stichprobenartig unregelmäßig kontrollieren, z.B. ob Zugriff mit dem Domänenadmin auf C$ oder die Computerverwaltung oä. auf einzelen Workstations möglich ist. Bei Rechnern, die nicht nicht Mitglied der Domäne sind, geht das nicht. Aber um es von vornerherein auszuschliessen, sind die Wege oben zu beschreiten, oder vielleicht auch mit Drittherstellersoftware, die dann ähnlich arbeiten. grizzly999 Zitieren Link zu diesem Kommentar
cubi 10 Geschrieben 12. Februar 2007 Autor Melden Teilen Geschrieben 12. Februar 2007 802.1X hat nichts mit MAC-Adressen zu tun. grizzly999 Nee, mit Macs meinte ich die netten Designerkisten von Apple, die obendrein auch noch halb und halb mit OS9 und OSX laufen. Als ich letztens den OS9 Rechnern das von mir erzeugte Stammzertifikat unterjubeln musste (zum SSL Zugriff auf unseren internen Webserver), sind auch ein paar Stündchen vergangen... Gut, fresse ich mich also in die Zertifikatsvergabe rein, mal sehen, wie lange ich dafür brauche... Herzlichen Dank aber jetzt schon für Deine schnelle Hilfe! Zufrieden und arbeitswillig Cubi Zitieren Link zu diesem Kommentar
Fips 10 Geschrieben 16. Februar 2007 Melden Teilen Geschrieben 16. Februar 2007 Hallo erstmal. In diesem Zusammenhang hätte ich auch mal eine Frage. Ich habe mir eine Teststellung aufgebaut um 802.1x zu Testen. 3Com Switch 5500EI 2 Server Windows 2k Der erste ist DC und IAS mit Zertifikatsserver im VLAN 1 der Switch der zweite ist DHCP im VLAN 2. Bei MD5 Authentifizierung geht alles einwandfrei. Per RAS Richtlinie wird der Benutzer mit seinem Client nach erfolgreicher Anmeldung in VLAN 2 verschoben und bekommt eine IP. Wenn ich aber mit Zertifikaten arbeite geht es nicht. Der Computer wird laut Ereignisprotokoll zertifiziert. Am Client steht aber kein Zugang zum Netzwerk. Es wurde kein Zertifikat gefunden. Computer hat per GPO Zertifikat bekommen. Dieses Zertifikat wurde in Datei exportiert und dem Benutzer (erweiterte Funktionen im AD, Namensauflösung, x509) zugeordnet. kann mir da jemand vieleicht helfen oder etwas zukommen lassen was mir vieleicht weiterhilft. Gruß Fips Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.