mave28 10 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Hallo zusammen, ich habe folgende Fragestellung: Ich habe einen Laptop mit Windows XP SP3. Dieser ist Domänenmiglied und bezieht seine IP-Adresse über unseren DHCP-Server. Ich möchte jetzt sicherstellen, dass sich dieser Client nur an unseren DHCP-Server wenden kann, um eine IP zu bekommen. Sobald er in einen Fremdnetz steckt, soll er keine IP zugewiesen bekommen. Lässt sich das über Boardmittel regeln oder gibt es dafür Extra-Software? Die Server in der Domäne laufen unter Windows Server 2008. Vielen Dank für Eure Tipps! Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Moin, sowas wirst du ohne Weiteres nicht hinbekommen. Der Witz an DHCP ist ja gerade, dass es dynamisch ist. Wenn die Anforderung ernsthaft ist, könntest du dich mit IPSec befassen, damit der Client nur mit Servern spricht, die seine Verschlüsselung verstehen. Insgesamt sieht die Anforderung aber eher nach falschem Design aus. Gruß, Nils Link zu diesem Kommentar
mave28 10 Geschrieben 27. Januar 2011 Autor Melden Teilen Geschrieben 27. Januar 2011 Wie sollte das Design denn nach Deiner Meinung aussehen, Nils? Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Moin, warum genau soll der Client nur in eurem Netz eine IP-Adresse bekommen? Gruß, Nils Link zu diesem Kommentar
mave28 10 Geschrieben 27. Januar 2011 Autor Melden Teilen Geschrieben 27. Januar 2011 Wir wollen verhindern, dass der Client sich trotz eines Antiviren-Programms irgendwelche unbekannten "Haustiere" einfängt. Außerdem sollen keine Dateien von oder auf den Client kopiert werden können. Gruß Michael Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Moin, und wie soll die IP-Adresse dabei helfen? Was ihr benötigt, ist ein Sicherheitskonzept. Die IP-Adressierung ist keine Sicherheitsfunktion. Gruß, Nils Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Wir wollen verhindern, dass der Client sich trotz eines Antiviren-Programms irgendwelche unbekannten "Haustiere" einfängt. Nimm den Benutzern zuerst die Adminrechte. Außerdem sollen keine Dateien von oder auf den Client kopiert werden können. Wie willst Du das verhindern? Es gibt Mail, Internet, CDs und DVDs. Du kannst das nicht verhindern. Link zu diesem Kommentar
mave28 10 Geschrieben 27. Januar 2011 Autor Melden Teilen Geschrieben 27. Januar 2011 Nimm den Benutzern zuerst die Adminrechte. Keiner unserer User hat Adminrechte!! Wie willst Du das verhindern? Es gibt Mail, Internet, CDs und DVDs. Du kannst das nicht verhindern. Den Zugriff auf CD-Laufwerke kann man ja über GPO verbieten. Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Keiner unserer User hat Adminrechte!! Gut. ;) Den Zugriff auf CD-Laufwerke kann man ja über GPO verbieten. Und was machst Du mit den USB-Anschlüssen und den kostenlosen Diensten wie web.de, gmx.de oder anderen? Link zu diesem Kommentar
mave28 10 Geschrieben 27. Januar 2011 Autor Melden Teilen Geschrieben 27. Januar 2011 Gut. ;) Und was machst Du mit den USB-Anschlüssen und den kostenlosen Diensten wie web.de, gmx.de oder anderen? Die USB-Ports sind mit einer Verschlüsselungssoftware für Wechseldatenträger geschützt. Für das Internet gibt es eine Proxy-Konfig, die diese Dienste verbietet. Das Problem ist, dass der Client im Windows-Netzwerk sich ja trotzdem zu nicht Domain-Computern verbinden lässt, wenn er außerhalb eine IP vom fremden DHCP bekommt. Link zu diesem Kommentar
carlito 10 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Die USB-Ports sind mit einer Verschlüsselungssoftware für Wechseldatenträger geschützt. Beispiel: $Anwender steckt irgendein USB-Stick an. Was hat das mit Verschlüsselung zu tun? Oder meinst du, es können nur mit der Verschlüsselungssoftware verschlüsselte Datenträger verwendet werden? Für das Internet gibt es eine Proxy-Konfig, die diese Dienste verbietet. D.h. alle IP-Adressen aller Webmailer/Webdisk-Anbieter/Sharehoster etc sind gesperrt? Die Nutzung von SSL und Mail Verschlüsselung ist unterbunden? Deep Packet Inspection wird verwendet? Link zu diesem Kommentar
mave28 10 Geschrieben 27. Januar 2011 Autor Melden Teilen Geschrieben 27. Januar 2011 Beispiel: $Anwender steckt irgendein USB-Stick an. Was hat das mit Verschlüsselung zu tun? Oder meinst du, es können nur mit der Verschlüsselungssoftware verschlüsselte Datenträger verwendet werden? D.h. alle IP-Adressen aller Webmailer/Webdisk-Anbieter/Sharehoster etc sind gesperrt? Die Nutzung von SSL und Mail Verschlüsselung ist unterbunden? Deep Packet Inspection wird verwendet? Danke für den Versuch, aber ich gebe es dran. :cry: Link zu diesem Kommentar
carlito 10 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Danke für den Versuch, aber ich gebe es dran. :cry: Wie meinen? Link zu diesem Kommentar
mave28 10 Geschrieben 27. Januar 2011 Autor Melden Teilen Geschrieben 27. Januar 2011 Wie meinen? Weil nicht wolle Frage kapieren. Wenn keine IP, dann nix Internet, dann seien Email und Co nix möglich Link zu diesem Kommentar
carlito 10 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Wenn keine IP, dann nix Internet, dann seien Email und Co nix möglich Schon klar. Aber ist dir der mögliche Informationsabfluß bzw. -zufluß im eigenen Netz egal? Link zu diesem Kommentar
Empfohlene Beiträge