Jump to content

Außendienst-Notebook in Domäne Best-practice

mcdaniels

Von mcdaniels
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

mcdaniels Veteran

mcdaniels   29

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Zur Zielsetzung:

Hauptziel ist es, mit den vorhandenen Mitteln das Maximum an (vermeintlicher) Sicherheit bzgl. Außendienstlaptops herauszuholen.

Zusätzlich soll das "Verbesserungspotential" (bzgl. die Sicherheit) eruiert werden.

Die Mitarbeiter dürfen hierbei auch nicht so eingeschränkt werden, dass sie nur noch via VPN arbeiten können. (Das wäre mir am Liebsten gewesen).

 

Vorhanden:

UTM Appliance (Content-Filter, Mail-Filter, DNS-Filter, IPS)

Zugang von außen via VPN (über die Appliance) mit Username / Passwort kombiniert mit Hardwaretoken.

Über das VPN dann auf den Terminalserver. Einschränkung des Zugriffs von außen auf die IP des Terminalserver im LAN.

Verwendetes Konto zum Anmelden am Laptop = Domänenaccount mit Cached credentials (Hier wäre meine Idee gewesen, für RDP im Außendienst ein lokales Konto zu verwenden. Dies wurde aber ad absurdum geführt).

Notebooks sind Bitlocker-verschlüsselt.

 

Nice to have:

Möglichkeit die Außendienst-Endgeräte auch dann zu "monitoren" wenn sie sich nicht innerhalb der VPN Verbindung, oder dem LAN bewegen. (Also zb im WLAN zu Hause sind)

 

Fragen:

Oben Beschriebenes ist alles, was ich bezüglich Remotezugriff mit den vorhandenen Mitteln "liefern" kann. Seht ihr hier ein gravierendes Problem?

Die User bewegen sich auch wenn sie zu Hause in ihrem WLAN sind und surfen mit dem Domänenaccount. Auch dies ist grundsätzlich ein gangbarer Weg in einem solchen Szenario?

 

 

bearbeitet von mcdaniels
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben
vor 33 Minuten schrieb mcdaniels:

Nice to have:

Möglichkeit die Außendienst-Endgeräte auch dann zu "monitoren" wenn sie sich nicht innerhalb der VPN Verbindung, oder dem LAN bewegen. (Also zb im WLAN zu Hause sind)

Das wird meiner Meinung nach nur dann funktionieren, wenn du ein System außerhalb - sprich Cloud - einsetzt und diese Infos zu erhalten. Da dürften wahrscheinlich diverse mdm, Monitoring und endpoint protection Systeme in Frage kommen.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

deine Stichworte unter "Zielsetzung" illustrieren sehr schön, wie Admins oft an so ein Thema herangehen - und gleichzeitig, warum ich immer wieder betone, dass solche Bruchstücke eben nicht ausreichen. Weder hast du (anscheinend) ein Konzept von "maximaler Sicherheit" noch eins von "User dürfen nicht so eingeschränkt werden, dass ...". Ohne diese Begrenzungen wirst du aber kein passendes Konzept aufbauen können. Hinweis dazu: Meiner Erfahrung nach wirst du nicht eine Definition davon haben bzw. brauchen, sondern mehrere, weil auch in eurem Unternehmen die Anwender sicher unterschiedliche Arbeitsbereiche haben.

 

Wie schon mehrfach gesagt: Ein lokales Konto wird kein Problem lösen, dafür viele neue schaffen. Und ein VPN ist nicht per se "sicher", sondern kann bei ungünstigem Einsatz ein Einfallstor für Angreifer sein. 

 

Da du immer das heimische WLAN der Anwender erwähnst: An dem wird ja kein Weg vorbei gehen. Irgendwie müssen die Notebooks ja an das VPN rankommen. Und ja, natürlich kann das problematisch sein. Geh davon aus, dass ein Endgerät in den Händen des Anwenders grundsätzlich nicht als vertrauenswürdig gelten kann. Das Schutzkonzept muss also natürlich auch das Endgerät umfassen, vor allem müssen aber die Assets im Unternehmensnetzwerk geschützt sein. Meiner Erfahrung nach wird das auch heute noch aggressiv ignoriert.

 

Gruß, Nils

 

  • Like 2
Link zu diesem Kommentar
mcdaniels Veteran

mcdaniels   29

Geschrieben
  • Autor
Geschrieben
vor 20 Minuten schrieb NilsK:

Weder hast du (anscheinend) ein Konzept von "maximaler Sicherheit" noch eins von "User dürfen nicht so eingeschränkt werden, dass ...". Ohne diese Begrenzungen wirst du aber kein passendes Konzept aufbauen können.

richtig, ich hab in diesem Kontext noch kein Konzept von maximaler Sicherheit. Deshalb versuchte ich hier ein wenig Input zu bekommen. 

 

vor 21 Minuten schrieb NilsK:

Meiner Erfahrung nach wirst du nicht eine Definition davon haben bzw. brauchen, sondern mehrere, weil auch in eurem Unternehmen die Anwender sicher unterschiedliche Arbeitsbereiche haben.

Nein haben wir nicht.

 

vor 23 Minuten schrieb NilsK:

Da du immer das heimische WLAN der Anwender erwähnst: An dem wird ja kein Weg vorbei gehen. Irgendwie müssen die Notebooks ja an das VPN rankommen.

ich meinte auch nicht das WLAN oder LAN der Anwender, sondern einfach das, dass es ein "Fremdnetz" ist. Auch ist mir klar, dass ein VPN nichts mit Sicherheit  in dem Sinne zu tun hat.

 

Jedenfalls danke  für die Antworten.

 

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...