Notebooks radikal sperren ?

[Lorac 10]

Hallo zusammen,

 

ich bin auf der Suche nach einer "Sicherheits-Lösung" für unsere Mitarbeiter Notebooks.

 

Die Situation ist folgende:

Die Notebooks werden hauptsächlich dafür verwendet Präsentationen zu machen und auf die Emails von außerhalb zuzugreifen.

Die Verbindung mit dem Lotus Domino Server erfolgt über eine VPN Verbindung.

 

Ich weiß nicht ob ichs schonmal erwähnt habe, aber unsere Geschäftsleitung ist etwas, ich nenne es mal: Übervorsichtig, und hat Angst, dass Daten über die Notebooks das Unternehmen verlassen könnten.

Beispiel: Sensible Daten per Email an sich selbst gesendet, vom Notebook aus auf die Email zugreifen, die Daten speichern und auf CD brennen, USB Stick oder einfach über ne Netzwerkfreigabe auf den Home PC schieben.

 

Jetzt hat die Geschäftsleitung angeordnet die Notebooks so dicht zu nageln, dass es unter keinen Umständen möglich ist, Daten von den Notebooks runter zu bekommen. Mir rollen sich bei solchen Aussagen immer die Fussnägel auf, aber mir fehlen da auch die Argumente die überzeugend genug sind, sowas als Schwachsinn einzustufen.

 

Also die Mitarbeiter, die sich mittlerweile daran gewöhnt haben, ihre PPTs per USB Stick auszutauschen, die Ihre Vor-Ort gemachten DigiCam Bilder eben einlesen, die beim Kunden eine DVD zum ansehen bekommen, sollen da nun echt eingeschränkt werden.

Die fixe Lösung die mein Chef nun umsetzen will: USB sperren, DVD Laufwerk sperren, bleibt nur noch der Netzwerkzugriff ... wo ein Kollege gerade dabei ist eine Lösung zu finden wie man den Netzwerkzugriff so einschränken kann, dass nur die VPN Verbindung noch funktioniert.

 

Ich bin von diesem ganzen Konzept: Notebooks dich nageln, überhaupt nicht überzeugt. Außerdem ist der Mangel an Vertrauen den Mitarbeitern gegenüber mehr zu extrem. Aber unsere Geschäftsleitung ist da sehr schwierig.

 

-----------

 

Ich bin jetzt auf der Suche nach einem Konzept, wie man beide Seiten zufrieden stellen kann. Einmal die Notebooks nicht zu kastrieren und zum anderen der Geschäftsleitung eine sinnvolle Lösung präsentieren.

 

Wie regeln andere Firmen vielleicht ähnliche Probleme ? Gibt es da eventuell für diesen Bereich nutzbare Software Lösungen die eventuell mit Verschlüsselung arbeiten o.Ä. ?

 

Danke im Vorraus

LG Lorac

[Perin 10]

Hi Lorac,

 

Bitlocker-Laufwerksverschlüsselung falls das Notebook geklaut wird,

DRM-Lösung (z.B. AD RMS bei Server 2008) zum Absichern von Inhalten,

Display abmontieren, damit Inhalte nicht abfotografiert werden können ;-)

 

cu,

 

Perin

[Lorac 10]

Hi Perin,

 

Danke für die Antwort.

Festplatten Verschlüsselung ist schon installiert (Safeboot)

AD RMS muss ich mir mal ansehen ... ist schonmal eine interessante Richtung. Werde mich auf dem Gebiet mal umsehen und schlau machen ... und schauen was es da für Möglichkeiten gibt. Wobei wenn das nur unter 2008 lösbar ist, dann wird das wohl die nächsten 3 Jahre eh nix.

 

Display abmontieren bin ich noch gar nicht drauf gekommen, gute Idee.

Mein Vorschlag die Notebooks gleich ganz abzuschaffen wurde übrigens schonmal positiv aufgenommen :)

 

LG Lorac

[goscho 11]

Hallo Lorac,

 

prinzipiell sind solche Sicherheitsbedenken der Geschäftsführung bei mittleren oder größeren Firmen vollkommen normal und teilweise vorgeschrieben.

 

Ich beschäftige mich gearde intenisv mit solchen Szenarien. Dafür bietet dir Symantec die passenden Möglichkeiten.

 

Ich weiß nicht ob ichs schonmal erwähnt habe, aber unsere Geschäftsleitung ist etwas, ich nenne es mal: Übervorsichtig, und hat Angst, dass Daten über die Notebooks das Unternehmen verlassen könnten.

Beispiel: Sensible Daten per Email an sich selbst gesendet, vom Notebook aus auf die Email zugreifen, die Daten speichern und auf CD brennen, USB Stick oder einfach über ne Netzwerkfreigabe auf den Home PC schieben.

 

Du kannst mit Endpoint Protection alle externen Devices einschränken oder sperren. Zusätzlich ist auch möglich, nur bestimmte Anwendungen zu definieren, welche genutzt werden dürfen.

 

Man kann auch Protokollierungen einstellen, wenn bspw. von einer bestimmten Anwendung Daten ausgegeben werden.

 

Da ihr schon Safeboot nutzt, ist die Verschlüsselung eigentlich implementiert.

Habt ihr auch eine Verschlüsselungsfunktion für removable Devices (CD/DVD/USB-Sticks)?

 

Wenn nicht, dann kannst du dich hier mit Symantec Endpoint Encryption auseinandersetzen.

 

Wenn du beides koppelst und richtig konfigurierst, bekommst du alle Wünsche deiner Geschäftsleitung realisiert (außer Abfotografieren :cool:)

[Lorac 10]

Hallo goscho,

 

Ich werde mir die Symantec Lösung mal genauer ansehen. Vielen Dank für die Antwort, das hört sich sehr brauchbar an.

[Userle 145]

Ganz gross im kommen sind auch Virtualisierungen. Wir denken grad darüber nach unseren AD´lern ein Budget zur Verfügung zu stellen. Davon sollen sie sich ein NB ihrer eigenen Wahl kaufen. Einzige Bedingung: virtualisierungsfähiger Chipsatz.

Die Anwendungen oder der "Arbeitsplatz" wird dann als Virtuelle Lösung an das NB übergeben.

Hier kommen verschiedene Szenarien in Frage. Im Prinzip würde eine via VPN generierte RDP Sitzung reichen. Allerdings gibts da von Citrix und Co. Lösungen professionellerer Art.

 

Greetings Ralf

[LukasB 10]

Einfache Lösung: UMTS Karte + Embedded-OS mit RDP/ICA Client auf den Notebooks - da gibts auch spezialisierte Geräte von ThinClient Herstellern.

 

Lukas, der das Gefühl hat das AD RMS wohl die einzig gescheite Lösung für die genannten Probleme ist, aber die GL sich weigern wird diese zu implementieren

[muddy_fox 10]

Hallo zusammen,

 

bei uns im Unternehmen wird die Software Safend von Prosoft eingesetzt.

 

Da kann man alles sperren bzw. eingeschränken u.a USB, Com Ports, Brener

uvm.

 

Desweiteren kann man alles protokollieren , wenn man es will zwecks Compliance.

 

Für weitere Fragen stehe ich gern zur Verfügung.

 

Viele Grüße