mcdaniels 29 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 (bearbeitet) Hallo, wie geht ihr mit Notebooks um, die einerseits von Mitarbeitern im Außendienst verwendet werden, andererseits aber auch in der Domäne (im internen Netzwerk) Verwendung finden? Die Mitarbeiter können auch von zu Hause aus (via VPN) auf das interne Netzwerk zugreifen. Sie melden sich hier mit den Cached Credentials der Domäne an (mit einem Standaruser ohne Adminrechte). --> Vermutlich ist hier ein lokaler User einzurichten und dieser für das Arbeiten außerhalb des Domänennetzwerk jedenfalls vorzuziehen? Momentan lösen wir das (schematisch) so: Mitarbeiter (daheim oder unterwegs) -> SSL VPN -> Terminalserver (internes Netzwerk) Dennoch schließt dies nicht aus, dass Mitarbeiter X das Notebook @home im Wlan hat und dort dann in der Gegend rumsurft. Angenommen er würde sich etwas "einfangen" und würde das Notebook dann wieder an die Domäne hängen, wäre dies ggf. ein großes Problem. Welche Möglichkeiten gibt es, diese Situation zu verbessern? Ich denke da an einen VPN Zwang. Sprich also, wenn der MA mit dem Gerät surfen will, geht das nur, wenn er zuvor die VPN Verbindung aufgebaut hat. Er surft dann über die VPN Verbindung und die Firewall in der Firma. Gibt es eine solche Möglichkeit und ist das sinnvoll? Weiters wäre eine Device Management Software sicher nicht schlecht, die die Geräte auch dann "überwacht" wenn sie nicht direkt mit dem Netzwerk verbunden sind. (z.b. in Form einer Software, die die Geräte auch dann monitored wenn sie eben nicht über die VPN Verbindung im Internet aktiv sind). Anm.: Wenn man eine VPN Verbindung erzwingen kann, ist dies dann zumindest in dieser Form hinfällig. Freue mich auf eure Expertise. Danke! bearbeitet 14. Januar 2021 von mcdaniels Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 Moin, "von - bis". Ein lokaler User statt eines Domänenusers löst jedenfalls kein einziges Problem, schafft dafür aber viele neue. Warum würdest du das erwägen? Ein Notebook ist ein Mobilrechner, der ist ja dafür da, dass man ihn an verschiedenen Stellen betreibt, also auch in verschiedenen Netzwerken. "Einfangen" kann man sich beim "Rumsurfen" überall was. Moderne Malware kann im gesicherten Firmen-LAN genauso zuschlagen wie im Heim-WLAN. Die Risiken unterscheiden sich heute nicht mehr wesentlich. Wichtig ist, dass die wichtigen Assets eben auch gut geschützt sind. Da bin ich aber nicht der erste, der darauf hinweist. Ein "VPN-Zwang" wird das Risiko typischerweise nicht verringern, sondern erhöhen. Über ein VPN ist der Client an das Unternehmensnetzwerk angeschlossen, als wäre er direkt in der Firma. Hätte er sich also "was eingefangen", dann wäre es direkt im Firmennetz. "VPN" ist keine Sicherheitsmaßnahme, sondern nur ein Werkzeug für ganz bestimmte, eingegrenzte Szenarien. Um jetzt nicht ganz ohne Vorschlag dazustehen: Manche Firmen nutzen Notebooks im Home Office nur als "dumme Terminals", die Anwender greifen also per RDP/Citrix/... auf die Applikationen zu, die im Unternehmen laufen. Das ist schon vom Grundprinzip her i.d.R. deutlich "sicherer" als ein direkter Durchgriff. In dieser Allgemeinheit hat das jetzt das Potenzial, ein ausufernder Mega-Thread zu werden, der nichts Neues enthält. Wie wäre es, wenn du dich erst mal allgemein informierst und dann mit konkreten Fragen kommst? Gruß, Nils 1 Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 14. Januar 2021 Autor Melden Teilen Geschrieben 14. Januar 2021 (bearbeitet) Hallo Nils, grundsätzlich ist es ja bei uns schon so, dass wir via VPN -> RDP (auf einem Terminalserver) arbeiten. (mit den Mobilgeräten und auch was das Homeoffice betrifft). Das hatte ich aber im Startthread erwähnt. vor 34 Minuten schrieb NilsK: Ein "VPN-Zwang" wird das Risiko typischerweise nicht verringern, sondern erhöhen. Mein Gedankengang war der, dass ich so die Kontrolle darüber habe, was der User zb ansurft & Malwarescan & Contentfilter ... (da der Datentransfer dann über die Firmenappliance läuft und eben nicht "einfach mal so" direkt über einen WLAN Router der daheim steht (ohne diverse Scans und Kontrollen). vor 34 Minuten schrieb NilsK: Moderne Malware kann im gesicherten Firmen-LAN genauso zuschlagen wie im Heim-WLAN. Natürlich. Jedoch differenziere ich hier eben ein wenig, da ich im Firmen LAN wenigstens einige Ausstattung habe, die man eben zu Hause nicht hat. Ausstattung, die beim Surfen schonmal einiges "wegfischt". @home hab ich das nicht, wenn ich "quasi direkt" im Internet bin. vor 34 Minuten schrieb NilsK: Wie wäre es, wenn du dich erst mal allgemein informierst und dann mit konkreten Fragen kommst? Ist die Variante: Home-Office-Endgerät -> VPN -> RDP (Terminalserver) also quasi als Standard zu sehen? Was meinst du mit "Notebooks als dummes Teminal" ? So eingeschränkt, dass man quasi nichts darauf machen darf bis auf die VPN/RDP Lösung? vor 34 Minuten schrieb NilsK: "von - bis". Ein lokaler User statt eines Domänenusers löst jedenfalls kein einziges Problem, schafft dafür aber viele neue. Warum würdest du das erwägen? Wenn ich keinen direkten Zugriff habe, muss ich mich auf dem mobilen Endgerät (bei Zugriff auf die Firma) an sich nicht mit dem Domänenkonto anmelden (man arbeitet ja via VPN & dann RDP). Ich dachte an eine Trennung: Wenn unterwegs lokaler User / VPN / RDP (eigenes Profil) / wenn im LAN (Domänenkonto). Danke! bearbeitet 14. Januar 2021 von mcdaniels Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 Moin, auch im Bereich der IT-Security solltest du die Anforderungen definieren, bevor du Maßnahmen evaluierst oder umsetzt. Vieles von dem, was du anführst, kann man durchaus machen (abgesehen von dem lokalen User). Kommt halt drauf an, warum man das macht und wie es in ein Gesamtkonzept eingebunden ist. Dass man zuhause "direkt im Internet sei", ist in aller Regel schon lang nicht mehr so. Auch Heimrouter haben einen okayen Firewallschutz, dazu kommt das, was Windows mitbringt. Wir sind nicht mehr im Jahr 2000. Und gegen moderne Bedrohungen für Clients hilft eine Unternehmensfirewall oft auch nicht viel, weil sowas eben heute völlig anders funktioniert. Am Ende eine Sache der Abwägung - man kann Maßnahmen aus meiner Sicht nicht bewerten, ohne das Szenario zu kennen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 14. Januar 2021 Autor Melden Teilen Geschrieben 14. Januar 2021 vor 1 Minute schrieb NilsK: Dass man zuhause "direkt im Internet sei", ist in aller Regel schon lang nicht mehr so. Auch Heimrouter haben einen okayen Firewallschutz, dazu kommt das, was Windows mitbringt. Wir sind nicht mehr im Jahr 2000. Und gegen moderne Bedrohungen für Clients hilft eine Unternehmensfirewall oft auch nicht viel, weil sowas eben heute völlig anders funktioniert. Ja, ich weiß. Ich meinte ohne zb. eine Firewallappliance wie eine Fortigate. Eine moderne Unternehmensfirewall kann aber zb Verbindungen zu Botnets blockieren, oder aber einen SSL Scan durchführen. (Hier können wir dann darüber diskutieren, wie legitim ein derartiger Scan ist). vor 7 Minuten schrieb NilsK: Am Ende eine Sache der Abwägung - man kann Maßnahmen aus meiner Sicht nicht bewerten, ohne das Szenario zu kennen. Wir fangen gerade erst damit an, das wirklich zu forcieren und ich wollte eure generelle Meinung dazu hören (lesen). Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 Damit Du nicht nur eine (zugegebenermaßen sehr professionelle) Meinung hörst (bestimmt kommen auch noch weitere) ... hier noch ein oder zwei "Denkanstöße" von mir: vor 50 Minuten schrieb mcdaniels: Ist die Variante: Home-Office-Endgerät -> VPN -> RDP (Terminalserver) also quasi als Standard zu sehen? Dazu ein eindeutiges Jein!! So etwas wie einen "Standard" gibt es nicht. Die Lösungen und Strategien sind so vielfältig wie das Leben selbst. Das hängt entscheidend von den Anforderungen und Voraussetzungen ab. vor 25 Minuten schrieb mcdaniels: Ja, ich weiß. Ich meinte ohne zb. eine Firewallappliance wie eine Fortigate. Eine moderne Unternehmensfirewall kann aber zb Verbindungen zu Botnets blockieren, oder aber einen SSL Scan durchführen. (Hier können wir dann darüber diskutieren, wie legitim ein derartiger Scan ist). Wenn das Haupteinfallstor für Schädlinge z.B. der Mail-Client ist, kann Dir die teuerste und beste Firewall auch nicht mehr helfen. Dann kommt die Bedrohung quasi von Innen. vor 25 Minuten schrieb mcdaniels: Wir fangen gerade erst damit an, das wirklich zu forcieren und Zu viele Einschränkungen können auch das Gegenteil bewirken, weil Anwender Wege finden, einengende und stark hinderliche Regeln zu umgehen. vor 25 Minuten schrieb mcdaniels: ich wollte eure generelle Meinung dazu hören (lesen). Wenn Du 3 Leute nach deren Meinung fragst, solltest Du Dich darauf vorbereiten mindestens 5 Meinungen zu hören. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 vor 3 Minuten schrieb BOfH_666: Wenn Du 3 Leute nach deren Meinung fragst, solltest Du Dich darauf vorbereiten mindestens 5 Meinungen zu hören. Wir sind doch keine Juristen :p 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 Gerade eben schrieb NorbertFe: Wir sind doch keine Juristen :p Schlimmer ... wir sind IT-Profis. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 Ach da gibts doch immer nur einen Weg -- meinen. 1 Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 14. Januar 2021 Autor Melden Teilen Geschrieben 14. Januar 2021 (bearbeitet) vor 15 Minuten schrieb BOfH_666: Wenn das Haupteinfallstor für Schädlinge z.B. der Mail-Client ist, kann Dir die teuerste und beste Firewall auch nicht mehr helfen. Dann kommt die Bedrohung quasi von Innen. Stimmt. Hier kann ich aber ggf. zumindest mit einem SMTP(S) Scan entgegenhalten Fischt mir bislang 99% der "bösen" Mails weg. bearbeitet 14. Januar 2021 von mcdaniels Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 vor 4 Minuten schrieb mcdaniels: Stimmt. Hier kann ich aber ggf. zumindest mit einem SMTP(S) Scan entgegenhalten Fischt mir bislang 99% der "bösen" Mails weg. Das Problem sind ja leider nicht die 99% .... sondern das eine Prozent, welches eben nicht weggefischt wird!! .... deshalb sollte es im Idealfall eine Strategie geben, die eben auch den Ernstfall mit abdeckt. Also Backup und Recovery sind mindestens genauso wichtig wie der Bedrohungsschutz an sich. 1 Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 14. Januar 2021 Autor Melden Teilen Geschrieben 14. Januar 2021 (bearbeitet) vor 2 Minuten schrieb BOfH_666: Also Backup und Recovery sind mindestens genauso wichtig wie der Bedrohungsschutz an sich. ich fotografier jeden Tag die Inhalte jeder Word- und Exceldatei bearbeitet 14. Januar 2021 von mcdaniels Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 Das ist sehr löblich, ich hoffe doch analog. 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 vor 25 Minuten schrieb mcdaniels: ich fotografier jeden Tag die Inhalte jeder Word- und Exceldatei Dann musst Du aber davon auch noch Kopien machen, die Du außer Haus schaffst ... wenn schon, denn schon!! 1 Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 15. Januar 2021 Melden Teilen Geschrieben 15. Januar 2021 Wie schon oft hier geschrieben . . . Security ist keine Sammlung individueller Maßnahmen sondern die Umsetzung eines strategischen Konzepts. Das basiert u.a. auf euren Anforderungen und der Analyse des Ausgangszustandes. Wenn Du beschreibst wie der Ausgangszustand ist und wie eure Anforderungen sind kommen hier eher sinnvolle Vorschläge (wobei ein Forum im Gesamtkonstrukt nur einzelne Fragen beantworten kann). 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.