fernmelder 10 Geschrieben 10. Dezember 2009 Melden Teilen Geschrieben 10. Dezember 2009 Hallo liebe Gemeinde, ich würde gerne wissen, wie ihr eure Rechner im LAN abschottet. Damit meine ich in erster Linie z.B. die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz, die das untersagt? Wir haben im Moment die Diskussion, dass die Geschäftsleitung sich darüber Gedanken macht und sie will nicht, dass Mitarbeiter von daheim USB Sticks mitnehmen und hier einstöpseln und gegebenenfalls Daten ziehen... Den USB Port deaktivieren würde ich ja gerne, aber da hängen Maus und Tastatur dran ;-) Welche Lösungen gibt es hier? Eine zusätzliche Frage: Wie oft müssen bei euch die Mitarbeiter das eigene Passwort ändern? Laut einem Datenschutzbeauftragten sollen wir (nur ein Vorschlag) es so einstellen, dass die Mitarbeiter einmal im Monat (!) ihr Passwort ändern müssen. Wie ist es bei euch geregelt? Wie ist bei euch der Internetzugriff geregelt? Haben alle freien Zugriff oder surfen eure Mitarbeiter über einen Proxy (squid z.B?), der nur die Seiten in der "White-List" zulässt? Oder gibt es eine Hardware-Lösung? Ich danke euch. Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 10. Dezember 2009 Melden Teilen Geschrieben 10. Dezember 2009 Hi Fernmelder. ich würde gerne wissen, wie ihr eure Rechner im LAN abschottet. Damit meine ich in erster Linie z.B. die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz, die das untersagt? Wir haben im Moment die Diskussion, dass die Geschäftsleitung sich darüber Gedanken macht und sie will nicht, dass Mitarbeiter von daheim USB Sticks mitnehmen und hier einstöpseln und gegebenenfalls Daten ziehen... USB-Sticks gibt's nur vom Unternehmen. Keine privaten, keine Werbegeschenke und nur für den internen Datenaustausch. Dafür muß eine Verpflichtungserklärung unterschrieben werden. Inwieweit das in Zeiten von shares und eMail sinnvoll ist laß' ich mal dahingestellt ... . Den USB Port deaktivieren würde ich ja gerne, aber da hängen Maus und Tastatur dran ;-) Welche Lösungen gibt es hier? Da gibt's wohl ganz nette tools, einfach mal googlen oder bingen. Und außerdem hätt's ja noch den PS/2-Anschluß ... . Eine zusätzliche Frage: Wie oft müssen bei euch die Mitarbeiter das eigene Passwort ändern? Laut einem Datenschutzbeauftragten sollen wir (nur ein Vorschlag) es so einstellen, dass die Mitarbeiter einmal im Monat (!) ihr Passwort ändern müssen. Wie ist es bei euch geregelt? Einmal im Monat. Ausnahmen gibt's keine. Wie ist bei euch der Internetzugriff geregelt? Haben alle freien Zugriff oder surfen eure Mitarbeiter über einen Proxy (squid z.B?), der nur die Seiten in der "White-List" zulässt? Oder gibt es eine Hardware-Lösung? Internetzugriff gibt's nur auf Antrag beim Chef, gesurft wird dann über squid. Dafür gibt's dann auch wieder eine Verpflichtungerklärung. Allerdings brauchen auch bei weitem nicht alle MA zum arbeiten Internetzugriff. ciao M. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 10. Dezember 2009 Melden Teilen Geschrieben 10. Dezember 2009 . Damit meine ich in erster Linie z.B. die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz, die das untersagt? Ja, dürfen sie. Das ist ja schon seit längerem ein Built-In Feature von Windows, das USB-Sticks nicht benutzt werden dürfen. Seit Windows 7 kann man nun auch z.B. Bitlocker-To-Go erzwingen. Eine zusätzliche Frage: Wie oft müssen bei euch die Mitarbeiter das eigene Passwort ändern? Alle 90 Tage. 30 Tage finde ich ein bisschen extrem. Wie ist bei euch der Internetzugriff geregelt? Wir haben einen Forefront TMG (vorher ISA), aber der scannt nur auf Malware. Websiten sind alle freigeschaltet. Wenn die Mitarbeiter am Arbeitsplatz faulenzen, dann sperren wir nicht Youtube, sondern entlassen die faulen Mitarbeiter. Viel zielführender. Zitieren Link zu diesem Kommentar
fernmelder 10 Geschrieben 10. Dezember 2009 Autor Melden Teilen Geschrieben 10. Dezember 2009 Hi s_sonnen, danke für deine Antwort. PS/2 Anschlüsse haben wir nicht mehr. USB-Sticks für Mitarbeiter gibt es nicht - wird nicht benötigt. Klar gibt es Ausnahmen, aber die kann man an einer Hand aufzählen. Mittlerweile haben einige Mitarbeiter sogar ihre eigenen Hintergrundbilder von daheim mitgebracht. Das mag die Geschäftsleitung nicht, alles soll jetzt restriktiv behandelt werden. Auch Gruppenrichtlinien sollen eingesetzt werden, damit die User ihren Desktop nicht mehr verändern können. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 10. Dezember 2009 Melden Teilen Geschrieben 10. Dezember 2009 Mittlerweile haben einige Mitarbeiter sogar ihre eigenen Hintergrundbilder von daheim mitgebracht. Das mag die Geschäftsleitung nicht, alles soll jetzt restriktiv behandelt werden. Ich würd eurer GL mal ein neues Golfschlägerset schenken, denen ist glaub langweilig ;) Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 10. Dezember 2009 Melden Teilen Geschrieben 10. Dezember 2009 Hi LukasB. Wir haben einen Forefront TMG (vorher ISA), aber der scannt nur auf Malware. Websiten sind alle freigeschaltet. Wenn die Mitarbeiter am Arbeitsplatz faulenzen, dann sperren wir nicht Youtube, sondern entlassen die faulen Mitarbeiter. Viel zielführender. Da geb' ich Dir vollkommen recht. Allerdings sind wir in D ja ein bißchen vergangenheitsbehaftet und die white list ist, zumindest aus meiner Sicht, eher ein Schutz für die Mitarbeiter. Zum Schluß kommen Hr. Sch... und Fr. v.d.L. sonst noch auf die Idee das sie auf den Fimenservern Bildchen oder "angebräunte" Inhalte finden könnten. Das wär unserer Leitung grad' gar nicht recht. Ich würd eurer GL mal ein neues Golfschlägerset schenken, denen ist glaub langweilig ... und keine Bällchen die auf pfeifen quieken, da können sie dann länger suchen ... ciao und 'nen angenehmen Resttag M. Zitieren Link zu diesem Kommentar
Cosi 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 USB,CDROM,Diskettenlaufwerke werden bei uns mit Tetraguard gesperrt oder Verschlüsselt, je nach Version. Drucker, Tastaturen oder Mäuse funktionieren weiterhin. Je nach Version kann man dem Benutzer auch wieder freischalten. Kostet allerdings auch etwas. Konfigurierbar so um die 90€ pro Client gelockt so um die 25€ Passwörter werden bei uns alle 40 Tage erneuert. Das würde ich aber von Firma zu Firma individuell betrachten. Surfen dürfen die Benutzer, solange Sie keinen ******* bauen. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Websiten sind alle freigeschaltet. Wenn die Mitarbeiter am Arbeitsplatz faulenzen, dann sperren wir nicht Youtube, sondern entlassen die faulen Mitarbeiter. Viel zielführender. Das ist die richtige Einstellung! Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Hi, wir haben USB Geräte für alle MA abgeschaltet. Ausnahmen gibt es nur mit einer guten Begründung und selbst dann ist auf den Maschinen ein Tool welches genau überwacht was hin und her kopiert wird. Surfen geht nur über einen Proxy Server der zumindest den gröbsten "Schmutz" aus dem Netz raus filtert (Porno, Viren, Webmailer etc). Da wir natürlich die Komplexitätsregeln für Passwörter eingeschaltet haben müssen diese nur alle 90 Tage geändert werden. Kürze Zeiträume führen nach meiner Erfahrung nur zu einfacheren Passwörtern. (meets the policy but not the spirit of the policy...) wie z. B. P@ssw0rd Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 13. Dezember 2009 Melden Teilen Geschrieben 13. Dezember 2009 Passwörter werden bei uns jetzt generell als nicht mehr ausreichend sicher eingestuft, sowohl was Netzwerkangriffe mit Wörterbüchern, Ausspähmöglichkeiten oder bewusste Weitergabe angeht. Daher wird der ganze Konzern auf Smartcardanmeldung mit Zertifkaten umgestellt. carnivore Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 13. Dezember 2009 Melden Teilen Geschrieben 13. Dezember 2009 Passwörter werden bei uns jetzt generell als nicht mehr ausreichend sicher eingestuft, sowohl was Netzwerkangriffe mit Wörterbüchern, Ausspähmöglichkeiten oder bewusste Weitergabe angeht.Daher wird der ganze Konzern auf Smartcardanmeldung mit Zertifkaten umgestellt. carnivore Sehr gute Entscheidung - kostet zwar ein wenig was bringt aber sehr viele Vorteile wenn man das ganze richtig implementiert... Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 13. Dezember 2009 Melden Teilen Geschrieben 13. Dezember 2009 Ansonsten: hast du schon mal über den Einsatz einer Astaro nachgedacht? Mehr Info's hier dann: Click me Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. Dezember 2009 Melden Teilen Geschrieben 14. Dezember 2009 ...die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz,.....Weder Unternehmensleitung noch der zuständige Fachbereich scheinen das als Problem anzusehen oder sich dessen bewusst zu sein, Resultat ist eine weitgehende Verseuchung mit Con****er A. Der Sophos erkennt den zwar beim und löscht ihn, kann aber anscheinend das Übel so nicht beseitigen. Ich habe dann erstmal die (erneute) Verbreitung gestoppt durch Deaktivieren des Serverdienstes aller Clients, weiter des Schedulers und dem Deaktivieren von Autoplay aller Laufwerke per Gruppenrichtlinie. Zitieren Link zu diesem Kommentar
ipzipzap 10 Geschrieben 15. Dezember 2009 Melden Teilen Geschrieben 15. Dezember 2009 ...selbst dann ist auf den Maschinen ein Tool welches genau überwacht was hin und her kopiert wird. Darf man erfahren, welches Tool das ist? Sowas suche ich nämlich auch noch. TIA, Dino Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 15. Dezember 2009 Melden Teilen Geschrieben 15. Dezember 2009 Darf man erfahren, welches Tool das ist? Sowas suche ich nämlich auch noch. TIA, Dino klar - ist allerdings nicht billig... Das Ding heißt Sanctuary Device Control bzw. Sanctuary Command and Control. Hier eine Beschreibung (common criteria) http://www.commoncriteriaportal.org/files/epfiles/ST_VID4027-ST.pdf LG Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.