Außerhalb Firmennetzwerk Internetzugriff nur über VPN erlauben

[toasti 11]

Hallo zusammen,

 

möchte hier folgendes Szenario umsetzen, wie ich jetzt gemerkt habe ist das mit Windows Firewall und Co nicht so einfach möglich.

 

Alle Notebooks sollen wenn sie nicht im Firmennetzwerk sind, durch die Windows Firewall geschützt sein und ein Internetzugriff soll nur über einen VPN-Client möglich sein.

 

Ursprünglich wollten wir "ganz hart" vorgehen, WLAN komplett deaktivieren auf den Notebooks und in die lokale NIC eine feste IP setzen, somit wäre die Möglichkeit extern ins Netz zu gehen ziemlich gering. Da wir hier aber auf Granit bei unseren lieben Kollegen stoßen ("Dann brauche ich keinen Notebook wenn ich außerhalb nicht ins Netz kann") müssen wir uns etwas Anderes einfallen lassen.

 

Die letzten 2 Tage habe ich mit den Gruppenrichtlinien gespielt, Domänenprofil / Standardprofil. Funktioniert auch wunderbar, ABER die Windows Firewall sperrt nur was von AUßEN kommt, nicht was von INNEN raus will.

 

Und da sind wir auch schon beim Problem. Sollte die Verbindung zu einem anderen Netz stehen, WLAN, lokal, wie auch immer soll kein Surfen usw möglich sein, sondern nur die VPN-Verbindung in die Firma über die dann über unseren firmeninternen Proxy gesurft werden kann.

Der VPN-Client von Cisco bringt eine Stateful Firewall mit und das funktioniert auch prima, solange dieser aber nicht aktiv ist, ist alles möglich.

 

Habt ihr Ideen wie ich das ganze mit Windows Bordmitteln hinbekomme?

 

Wäre euch sehr dankbar!!

 

Grüße,

toasti

[Landschaftsgest 10]

Hm, weiß leider nicht, was mit dem Cisco-Client möglich ist. Erstellt man aber auf einem XP-Rechner eine VPN-Verbindung (z.B. PPTP-VPN) kann man einstellen, dass diese Verbindung vor der Anmeldung, also auch Domänen-Anmeldung, hergestellt werden soll. Dann würden eure Richtlinien greifen und der User "surft" über euren Proxy. Meldet er sich lokal an, könnte man die Firewall so einstellen, das halt nichts raus geht. Dafür gibt es ja in den Firewall-Einstellungen über ein GPO das Domänenprofil und das Standardprofil.

[toasti 11]

Hört sich gut an, aber wie gesagt kann die Windows Firewall ja scheinbar nichts sperren von von "innen" kommt.

 

Erstellt man aber auf einem XP-Rechner eine VPN-Verbindung (z.B. PPTP-VPN) kann man einstellen, dass diese Verbindung vor der Anmeldung, also auch Domänen-Anmeldung, hergestellt werden soll.

 

Schön und gut, aber wenn ich unterwegs bin, mich das erste mal z.B. in ein WLAN einloggen möchte habe ich die Verbindung ja noch nicht vor der Anmeldung. Ich muss im Normalfall also vorher nen Schlüssel usw eingeben...

[IThome 10]

Ich wüsste nicht, wie man das machen sollte, weder mit Boardmitteln, noch mit entsprechenden Einstellungen in der Security Policy Database eines IPSEC-Clients. Eventuell klappt es mit einer Personal Firewall, in dessen Profilen man die entsprechenden Outgoing Regeln erstellt ...

[toasti 11]

Hmmm, ja, ich weiß. Kein leichtes Ding, aber sind nicht mehr Firmen darauf aus die Einstellung in der Art zu machen??

 

Wie machen es andere wenn es um Notebooks von Außendienstlern usw geht?

 

Eine Personal Firewall wäre noch eine Lösung, das stimmt...habe ich mir auch schon überlegt.

[LukasB 10]

Auf Vista upgraden. Dort kann die eingebaute Firewall ausgehenden Verkehr sperren.

[toasti 11]

Ist aber leider keine Lösung.

[LukasB 10]

Ist aber leider keine Lösung.

 

Inwiefern soll das keine Lösung sein?

[phoenixcp 10]

Inwiefern soll das keine Lösung sein?

Zum Beispiel insofern das bei uns das Vista-Upgrade nach reiflicher Prüfung zwar für unsere Damen aus der Verwaltung möglich ist, für uns Consultants wurde allerdings (aus meiner Meinung nach auch nachvollziehbaren Gründen) ein Upgrade / Update-Verbot erlassen.

 

Und sowas kenn ich auch von anderen Firmen. Von daher ist das dann keine Lösung seines Problems.

[toasti 11]

 

Inwiefern soll das keine Lösung sein?

 

Zum Beispiel insofern das bei uns das Vista-Upgrade nach reiflicher Prüfung zwar für unsere Damen aus der Verwaltung möglich ist, für uns Consultants wurde allerdings (aus meiner Meinung nach auch nachvollziehbaren Gründen) ein Upgrade / Update-Verbot erlassen.

 

Und sowas kenn ich auch von anderen Firmen. Von daher ist das dann keine Lösung seines Problems.

 

So ist es! "Einfach mal so" auf Vista updaten ist keine Lösung. Wie phoenixcp schon schrieb ist Vista bei uns auch bisher "verboten". Es muss anders gehen...

[NorbertFe 2.035]

Meldet er sich lokal an, könnte man die Firewall so einstellen, das halt nichts raus geht. Dafür gibt es ja in den Firewall-Einstellungen über ein GPO das Domänenprofil und das Standardprofil.

 

Nein dafür sind die nicht da. Bei XP/2003 kann die Hostfirewall keinen ausgehenden Traffic blocken. Das geht erst ab Vista.

 

Bye

Norbert

–

Zum Beispiel insofern das bei uns das Vista-Upgrade nach reiflicher Prüfung zwar für unsere Damen aus der Verwaltung möglich ist, für uns Consultants wurde allerdings (aus meiner Meinung nach auch nachvollziehbaren Gründen) ein Upgrade / Update-Verbot erlassen.

 

Darf man diese Gründe erfahren, oder sind die geheim? :)

Ich kann mir nur schwer vorstellen, dass ein Consultant Software oder Ansprüche hat, die Vista nicht erfüllt.

 

Bye

Norbert

[toasti 11]

So richtig funktioniert alles nicht nach meinen Vorstellungen was ich bisher hier getestet habe.

 

Nun hat mein Kollegenkreis beschlossen "einfach" eine 2. Partition einzurichten mit einem 2. XP wo "alles" erlaubt ist.

 

Nun habe ich das ganze mal getestet und auch schon öfters 2 OS auf einem Rechner installiert, ABER

 

- wie kann ich am besten den Zugriff auf eine andere Partition verhindern, sodass die Partition am besten erst garnicht sichtbar ist?

 

Mit Partition Magic habe ich ein bißchen gespielt, aber das scheint mir auch nicht das gelbe vom Ei. Am liebsten wäre mir der Windows Bootmanager.

 

Gibt es hier schalter um Paritionen zu verstecken?

 

Also wir brauchen quasi folgendes:

 

- Bootmenü wo ich das entsprechende XP auswählen kann

- Bin ich im Hauptsystem mit dem ich auch in die Domäne komme soll die Partition mit dem 2. XP nicht sichtbar und auch kein Zugriff möglich sein. Auf eine 3. Daten Partition jedoch soll Zugriff da sein.

- Bin ich im XP für unterwegs soll kein Zugriff auf die beiden anderen Partitionen stattfinden.

 

Wäre euch sehr dankbar wenn ihr mir ein paar Tips geben könntet!

 

Viele Grüße,

toasti

[Sternenkind 11]

Hmmm... ich würde im "Spielwindows" den Laufwerksbuchstaben per Datenträgerverwaltung entfernen?

Und dann per gpedit.msc für alle unter Benutzerkonfiguration -> Administrative Vorlagen -> Windows-komponenten -> MMC -> Eingeschränkte... -> Datenträgerverwaltung sperren

 

Ansonsten:

DNS fest konfigurieren auf 127.0.0.1 - steht im IE kein Proxy geht nix?

Falls in der Domäne: DNS Server keine ~rekursion (wie auch immer das Wort heißt) und dem Proxy als DNS den Router geben?

 

*wir gehen jetzt mal davon aus, dass die Notebookuser keine Systemhelden sind und auch nicht mutwillig alles ändern wollen*

[toasti 11]

Das ist schonmal ne gute Idee ABER die User sollen auf dem Spielwindows selbst Admin sein. Damit kann ich es dann vergessen die Datenträgerverwaltung zu sperren, oder?

 

Gibt es denn keinen Schalter in der boot.ini wo man sagen kann, boote ich z.B. Hauptsystem, dann soll Spielsystem ausgeblendet werden und anders rum?

 

Die User selbst sind teils erfahren, teils garnicht. Also unsere Produktmanager haben es durchaus drauf was den PC angeht.

[Sternenkind 11]

User sind gar nicht schlau genug um Laufwerksbuchstaben anzulegen und gesperrte Datenträgerverwaltungen zu öffnen :)