freie Mitarbeiter im Firmennetzwerk

[pfeffis 11]

Servus @ all,

 

in unserem Unternehmen (Windows Landschft) sind seit neuestem auch freie Mitabeiter beschäftigt, die mit Ihrem Apple oder auch Linux System bei uns Zugriffe auf das Netzwerk brauchen. Nun meine Frage: Wie handhabt ihr das aus Sicht der Sicherheit (Viren, etc.)? Man kann ja schließlich schlecht darauf vertrauen, dass diese "Freelancer" Systeme sauber sind. Diese Systeme der freien Mitarbeiter sind ja auch in anderen Unternehmen in deren Netzwerken unterwegs. Einen hauseigenen Virenscanner kann man ja schlecht auf jedem Freelancer PC installieren (Lizenzen, et.). Gebt doch mal eure Umsetzungen bzw. Erfahrungen an einen unwissenden weiter :cool:

[LukasB 10]

Gebt ihnen einen Laptop bzw. Arbeitsplatz der durch eure IT betreut wird, und das Problem ist gelöst?

 

Billig ist das natürlich nicht. Letztendlich ist die Frage was eure Entscheidungsträger machen wollen - diese müssen ja dann auch die Mittel für die Problemlösung sprechen. Das ist eher eine strategische Frage als ein konkretes technisches Problem.

[pfeffis 11]

ich meine prinzipiell schon, dass wir denen eigene workstations zur Verfügung stellen können, nur haben wir eine Windows Landschaft und viele der freien Mitarbeiter nutzen Apple oder Linux, daher wird es schwer bis unmöglich diese User zu einem Windows PC drängen ;) . Auch selber einen Apple anschaffen ginge, nur müsste man dazu wieder sehr tief in die Tasche greifen um Hardware und Software (Grafikprogramme) zu beschaffen, was ja eigentlich bei diesen freien Mitarbeitern vorhanden ist.

 

 

Mhh, also einfach selber was hinstellen ist nicht die Lösung. Sind ja nicht nur die Zugriffe auf Files sondern auch Email etc. -

[LukasB 10]

Mhh, also einfach selber was hinstellen ist nicht die Lösung. Sind ja nicht nur die Zugriffe auf Files sondern auch Email etc. -

 

Dann musst du halt ein Extranet schaffen, und diese Leute in ein seperates LAN abgliedern. Sie können dann z.B. von draussen auf einen Sharepoint oder ähnliches zugreifen um Files auszutauschen. Und Interne Applikationen z.B. via TS Gateway oder Citrix Secure Gateway nutzen.

[goscho 11]

Für solche Angelegenheiten gibt es Netzwerkzugriffskontrollen.

Symantec bietet hier Network Access Control. Dieses kann so eingestellt werden, dass bestimmte Sachen (aktueller Virenschutz bsw.) abgefragt werden. Allerdings kann ich dir nicht sagen, wie es sich dabei mit Apple oder Linux Clients verhält.

Bei Windows-Systemen kann sogar der unzureichende Patchstand von Windows oder bestimmten Programmen zum Ausschluss aus dem Netz führen.

 

Mehr dazu hier.

[phoenixcp 10]

ich meine prinzipiell schon, dass wir denen eigene workstations zur Verfügung stellen können, nur haben wir eine Windows Landschaft und viele der freien Mitarbeiter nutzen Apple oder Linux,

 

Na und? Womit die in Ihrer Freizeit spielen, kann dir doch völlig egal sein.

 

In deinem Netz wird nur mit deiner HW gearbeitet und mit nix anderem.

In nem Gast-LAN ohne Zugriff auf das eigene Intranet können die sich austoben wie sie wollen.

 

So zumindest unsere eigene Herangehensweise und das, was ich als Consultant selber bei meinen Kunden erlebe.

[pfeffis 11]

Dann musst du halt ein Extranet schaffen, und diese Leute in ein seperates LAN abgliedern.

 

dann habe ich doch aber noch immer nicht die evtl. vorhanden Schadprogramme auf diesen Rechnern im Griff !?

[phoenixcp 10]

dann habe ich doch aber noch immer nicht die evtl. vorhanden Schadprogramme auf diesen Rechnern im Griff !?

 

Die sind die ja dann auch egal, aber sie kommen eh nicht in dein Netz, weil das Extranet nicht mit deinem Hausnetz gekoppelt ist.

[pfeffis 11]

Die sind die ja dann auch egal, aber sie kommen eh nicht in dein Netz, weil das Extranet nicht mit deinem Hausnetz gekoppelt ist.

 

Ach du meinst dass ohne Kopplung an unser Firmennetz. Geht leider nicht wegen den Zugriffen. Für Email und deren Programme ja aber eben nicht für files. Und diese dann 2 mal vorhalten macht ja gar keinen Sinn.

 

Schwieriges Thema :cry:

 

 

Bzgl. NAC ist mir nicht bekannt dass deren Virenscanner (wenn überhaupt einer installiert ist) unserem System sagt auf welchem stand es ist. Dies wäre doch nur der Fall wenn auch die Freelancer unsere Antivirenlösung bei sich installiert hätten, oder!?

[LukasB 10]

Ach du meinst dass ohne Kopplung an unser Firmennetz. Geht leider nicht wegen den Zugriffen. Für Email und deren Programme ja aber eben nicht für files. Und diese dann 2 mal vorhalten macht ja gar keinen Sinn.

 

Wie gesagt: Sharepoint. Da müssen die Files halt Weg von einem normalen Fileserver und auf Sharepoint gezügelt werden. Dann hast du da eine detaillierte Kontrolle wer wann was wie modifiziert hat. Ist natürlich aufwendig.

 

Wie gesagt: Der Beste weg wäre diesen Leuten von deiner IT kontrollierte PCs zur Verfügung zu stellen mit den Applikationen die sie brauchen. Das bringt am wenigsten Veränderungen mit sich. Schwierig wirds wenn die Leute Applikationen brauchen die es nur unter Mac OS bzw. Linux gibt. Evtl. würde es dann Sinn machen eine weitere Person mit passendem Know-How einzustellen.

 

Bzgl. NAC ist mir nicht bekannt dass deren Virenscanner (wenn überhaupt einer installiert ist) unserem System sagt auf welchem stand es ist. Dies wäre doch nur der Fall wenn auch die Freelancer unsere Antivirenlösung bei sich installiert hätten, oder!?

 

NAC ist keine Lösung wenn die Leute frei die Systeme wählen können und auch bei anderen Kunden arbeiten - mehrere NAC Agents auf dem gleichen System wird kaum funktionieren, vorallem wird es nicht für alle 500 exotischen Linux-Distributionen welche geben.

[pfeffis 11]

Vielen ank erstmal für eure Meinung. Noch einen Ansatz: Könnte man zumindest vorerst nicht eine Schriftstück von den freinen Mitarbeitrn unterschreiben lassen in dem sie sich verpflichten keinerlei schadsoftware auf ihrem PC zu haben oder ist das absoluter ****sinn?

[robotto7831a 10]

Und wenn es dann passiert, hast Du den Ärger die Viren wieder loszuwerden und die Systeme wiederherzustellen.

 

Frank

[Sunny61 806]

Könnte man zumindest vorerst nicht eine Schriftstück von den freinen Mitarbeitrn unterschreiben lassen in dem sie sich verpflichten keinerlei schadsoftware auf ihrem PC zu haben oder ist das absoluter ****sinn?

 

Wie soll das ein normaler Benutzer beurteilen können?

[blub 115]

Hi,

Eine Lösung bietet Microsoft mit Windows 2008 an. Network Access Protection: Product Information

 

Dazu muss allerdings deine Infrastruktur etliche Voraussetzungen erfüllen: IPsec aktiviert, Virenscanner + Netzwerkkomponenten etc. müssen NAP-fähig sein und einiges mehr

Mit NAP kommen nur noch Clients ins Netz, die einen NAP-Agenten drauf haben und bestimmte Kriterien (Patchstand, Viruspattern etc.) erfüllen.

NAP ist aufwändig, daher wunderts mich, wenn Symantec eine solch einfache Lösung anbieten kann

 

cu

blub

[lefg 276]

.....Könnte man zumindest vorerst nicht eine Schriftstück von den freinen Mitarbeitrn unterschreiben lassen in dem sie sich verpflichten keinerlei schadsoftware auf ihrem PC zu haben .....

Das schützt ja nicht vor Schaden und Betriebsausfall. Auf die Sachkunde der Freelancer ist ja auch kein absoluter Verlass. Und ob ein Schadensersatz erreichbar wäre?

 

Letztendlich ist es Aufgabe, Verantwortung der Administration, Maßnahmen zu ergreifen, die das Unternehmensnetzwerk und die Daten schützen. Dazu müssen ihr von der Unternehmensleitung die nötigen Haushaltsmittel zur Verfügung gestellt werden.