Jump to content

Konten für externe "Mitarbeiter" / Freelancer usw.

wznutzer

Empfohlene Beiträge

magheinz Veteran

magheinz   108

Geschrieben
Geschrieben
vor 14 Minuten schrieb wznutzer:

Tatsächlich nur ERP (Vertrieb, Marketing) keine Dienstleister die irgendwas an der Infrastruktur mitarbeiten müssen.

Braucht das ERP einen Client, oder läuft das komplett im Browser?

 

Wir haben auch ein paar Freigaben direkt über die Loadbalancer auf die jeweiligen Webschnittstellen.

Die Externen rufen dann https://foobar auf, laufen durch die netscaler-Zweifaktorauthentifizierung und landen dann über ihren eigenen Browser direkt in der Anwendung.

Link zu diesem Kommentar
wznutzer Experienced

wznutzer   33

Geschrieben
  • Autor
Geschrieben
vor 1 Stunde schrieb magheinz:

Braucht das ERP einen Client, oder läuft das komplett im Browser?

Es benötigt einen Client, eine ganz normale Windows-Forms Anwendung. Deswegen der RDS. Für das was getan werden muss, ist jedoch ein Browser ausreichend. Ich dachte, ich mache das über den HTML5-Client, gebe aber nicht den kompletten Desktop frei, sondern nur die Anwendung (Remote-App).

 

Im Prinzip will ich mich vor dem Szenario schützen, dass im schlimmsten Fall der Anwender böswillig handelt oder seine Zugangsdaten unvorsichtig weitergibt. Auch dann soll möglichst nichts passieren können. Aber vielleicht übertreibe ich auch.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   804

Geschrieben
Geschrieben
vor 5 Stunden schrieb wznutzer:

Im Prinzip will ich mich vor dem Szenario schützen, dass im schlimmsten Fall der Anwender böswillig handelt oder seine Zugangsdaten unvorsichtig weitergibt. Auch dann soll möglichst nichts passieren können.

Hatte ich doch im ersten Posting beschrieben, Account dauerhaft deaktivieren und nur aktivieren bei Benutzung. Es gibt auch Software, die während der Arbeit des DL/Externen alles aufzeichnet.

Link zu diesem Kommentar
wznutzer Experienced

wznutzer   33

Geschrieben
  • Autor
Geschrieben

Vielen dank für den regen Austausch.

 

Am 5.7.2024 um 19:40 schrieb Sunny61:

Account dauerhaft deaktivieren und nur aktivieren bei Benutzung

Ich glaube, ich habe einen etwas anderen Bedarf. Bei mir geht es um Vertrieb und Marketing. Die arbeiten dauerhaft, geben Leads ein, erstellen Angebote, Aufträge, aber sind halt externe Agenturen / Fachhändler.

 

Wenn ich das richtig verstehe, gibt es bei den vorgeschlagenen Vorgehensweisen keinen Schutz vor Böswilligkeit, es gibt einen Vertrauensvorschuss. Bisher lassen wir grundsätzlich keine Dritten ins Netz. Klappt ganz gut, außer Veeam besteht bei manchen Case auf eine Webex-Sitzung. Selbst das machen wir dann nur im Ansichtsmodus und hinterher wird die VM zurückgesetzt.

 

Die Idee war möglichst eine Konfiguration zu haben, die im schlimmsten Fall kompromittiert ist und sich nicht auf den Rest auswirkt. Also es soll selbst dann sicher sein, wenn jemand absichtlich versucht etwas anzustellen. Das scheint eher unüblich zu sein. Auch die Dienstleister sagen, bei allen anderen gibt es einen Zugang wie für jeden regulären Mitarbeiter (VPN, RDP auf RDS fertig).

 

Darf ich die Diskussion nochmals in eine Richtung lenken. Ich tendiere noch immer dazu den RDS in einem VLAN zu separieren. Um den SQL-Port mache ich mir weniger sorgen, aber ich brauche halt auch Ports zum AD:

TCP 135 Microsoft RPC

TCP/UDP 49152 – 65535 RPC Dynamic Ports

TCP 88 Kerberos

TCP 389 LDAP

UDP 53 DNS

TCP 445 SMB

Gibt es da etwas besonderes zu beachten (aktuelle Systeme, komplexe und lange Passwörter)?

 

Danke und ein schönes Restwochenende

Link zu diesem Kommentar
magheinz Veteran

magheinz   108

Geschrieben
Geschrieben

Irgendwie passt dieses Misstrauen den Leuten gegenüber und deren Tätigkeit nicht wirklich zusammen.

 

Wenn ich Leute in mein Netz lassen muss denen ich misstraue, dann machen die das nicht unbeobachtet.

 

Vertraue ich denen, gibts entsprechende Verträge.

 

Alllerdings verstehe ich auch noch nicht wirklich was die Leute da tun sollen. Externe machen Angebote Aufträge etc über euer ERP? Da hätte ich ganz andere Bedenken als die Netzwerksicherheit.

 

Oder seid ihr ein ERP-SAS-Anbieter?

Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.283

Geschrieben
Geschrieben (bearbeitet)

Moin @wznutzer,

 

vielleicht merkst Du es schon: Die ultimative Antwort auf Deine Herausforderung wäre ein Web-Frontend für das ERP, idealerweise mit MFA. Dann musst Du niemanden in Dein Netz lassen, und das Thema ist erledigt. Vielleicht kann der Anbieter der ERP-Software so etwas ermöglichen, zumindest für den Teil der Arbeit, welcher an Externe rausgegeben wird?

 

Ist es nicht möglich, dann hast Du User, die sich in Deinem Netz anmelden und deren Credentials theoretisch abhanden kommen könnten. Und an dieser Stelle gibt es keine Empirik, die nahelegt, dass Externe dort weniger Sorgfalt an den Tag legen würden als Interne, eher im Gegenteil.

 

Somit musst Du für jeden User, intern wie extern, eine Blast Radius-Analyse betreiben und die Angriffsfläche entsprechend einschränken. Da sprechen wir aber nicht primär über IP-Adressen und Ports, sondern über Berechtigungen. Für IP-Adressen und Ports gibt es zwar auch einige leicht umzusetzende Vorschläge, welchje die Sicherheit erhöhen (Clients dürfen nicht miteinander sprechen, Client-, Drucker- und VPN-Netze dürfen nicht in Management-Netze sprechen usw.) aber das ist unabhängig von diesem Thread.

 

Mein Lieblingsbeispiel: Es gibt NULL Notwendigkeit für Otto Normaluser, egal ob kaufmännisch gesehen intern oder extern, Admin-Accounts, Admin-Gruppen oder Computer-Objekte per LDAP im AD zu lesen. Betrachtet man es genauer, ist es in 95% der Fälle für Otto Normaluser nicht notwendig, IRGENDEIN AD-Objekt aus der Domain-Partition außer dem eigenen User-Objekt zu lesen.

 

Und wenn man das verinnerlicht hat und sich dann den Schreibrechten zuwendet, kann man weiter härten :-) 

 

Druckspooler überall deaktivieren, wo nicht gedruckt wird. EDIT: Auf Tier 0-Systemen auch dann, wenn dort gedfdruckt wird, und das Drucken von dort entfernen. Wie, ist egal.

 

Alle Webdienste aus dem Repertoire von ADCS rigoros deinstallieren, bis auf HTTP-CDP und OCSP.

Last but not least: Ich weiß nicht, ob die Vertragslage sich geändert hat, aber früher war es nicht ohne weiteres zulässig, Personen auf seiner Windows-/SQL-Infrastruktur dauerhaft arbeiten zu lassen, die wirtschaftlich nicht zu dem Lizenznehmer-Unternehmen gehören. Vielleicht kann @lizenzdoc das auch noch bewerten.

bearbeitet von cj_berlin
  • Like 1
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.894

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

Zu der Lizenzfrage: meiner Erinnerung nach liegt die Grenze da, wo ein Externer seiner eigenen Arbeit nachgeht oder im Auftrag für die lizenzierte Firma tätig ist. Erledigt der Externe "meine" Arbeit (und wird dafür typischerweise von mir bezahlt), dann darf er meine Lizenzen nutzen. Stelle ich ihm eine Plattform, damit er seine eigene Arbeit erledigt (dann bekomme üblicherweise ich Geld von ihm), dann muss das anders lizenziert werden. 

 

Ist aber nur aus der Erinnerung und muss nicht stimmen. 

 

Zu den Arbeiten, eine Umgebung nachträglich abzuschotten: man mache sich nichts vor, da geht einiges, aber da Windows vor 25 Jahren grundsätzlich anders entworfen wurde (nämlich "offen"), ist das richtig Arbeit und man muss oft an am Rande der technischen Nutzbarkeit entlang frickeln.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
lizenzdoc Veteran

lizenzdoc   201

Geschrieben
Geschrieben

Hallo zusammen, alles für mich zu technisch :)


Aber Externe (Gäste) darf u. muss man mit firmeneigenen Lizenzen lizenzieren, wenn diese im Sinne der Firma Arbeit leisten.

Arbeiten die aber ihr "eigenes Ding", ist das quasi "Hosting" und wäre mit den normen eigenen Lizenz nie erlaubt!

 

Das Wäre also SPLA und da braucht man ja eigene Server und Lizenzen dazu !

 

Viele Grüße,

Franz

  • Like 1
Link zu diesem Kommentar
wznutzer Experienced

wznutzer   33

Geschrieben
  • Autor
Geschrieben

Guten Morgen,

 

herzlichen Dank für den regen Austausch.

Am 6.7.2024 um 22:02 schrieb magheinz:

Vertraue ich denen, gibts entsprechende Verträge.

Die kaufmännische Seite hat da Verträge, aber ein Vertrag ist für meine Bedenken nur dazu da um einen Schuldigen zu finden. Er verhindert ja nichts.

 

Am 6.7.2024 um 22:02 schrieb magheinz:

Oder seid ihr ein ERP-SAS-Anbieter?

Nein.

 

Am 7.7.2024 um 09:03 schrieb cj_berlin:

vielleicht merkst Du es schon: Die ultimative Antwort auf Deine Herausforderung wäre ein Web-Frontend für das ERP, idealerweise mit MFA.

Das wäre mein Traum :D. Nochmals Danke für die ausführliche Antwort. Vom Rest habe ich tatsächlich schon einiges umgesetzt (Tier-Konzept, MFA, Clients teilweise separiert usw.). Um zwei Dinge werde ich mich unabhängig davon kümmern. Evtl. mag mich jemand noch in die richtige Richtung schubsen.

 

AD-Objekte per LDAP auslesen verhindern: Hätte mir da jemand einen Link über weitere Informationen?

Druckspooler: Ist das (Printnightmare mal außen vor) ein generelles Sicherheitsproblem?

 

Meine Eingangs erwähnte Variante, ein komplettes AD neu aufzubauen habe ich nach dieser Diskussion verworfen. Das halte ich dann doch für übertrieben. Ich werde wohl einen separaten RDS in einem eigenen VLAN dafür richten und den möglichst so zunageln, dass dieser zwar alles nötige nutzen kann, aber auch nicht mehr. Weiterer Aufwand ist dann wohl besser in Dinge investiert, die generell nicht nur für den Fall "extern" was bringen.

 

Kennt hier jemand das Tool Purple Knight oder Forest Druid? Empfehlenswert für die AD-Sicherheit? Es wird in einem Blog erwähnt: https://www.semperis.com/de/category/ad-security-101/

 

Die Lizenzen sind safe. Die Leute machen unsere Arbeit.

 

 

Am 7.7.2024 um 09:44 schrieb NilsK:

richtig Arbeit und man muss oft an am Rande der technischen Nutzbarkeit entlang frickeln.

Das wollte ich jetzt nicht hören :shock2:.

 

Vielen Dank nochmals an alle.

 

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   804

Geschrieben
Geschrieben
vor 2 Stunden schrieb wznutzer:

Druckspooler: Ist das (Printnightmare mal außen vor) ein generelles Sicherheitsproblem?

Weniger ist mehr. Es gab mal ein Excel Sheet von MS mit den Diensten, die man abschalten kann, finde ich auf die Schnelle nicht mehr.

 

Alternativ: https://www.der-windows-papst.de/2019/12/01/windows-server-unnoetige-dienste-abschalten/

https://www.der-windows-papst.de/2020/12/15/windows-server-unwichtige-dienste-abschalten/

https://gist.github.com/GavinEke/abfc2a547aea74b9d74a2c0c598f3fd7

 

Das muss natürlich jeder selbst entscheiden, welche Dienste er deaktiviert.

  • Like 1
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.894

Geschrieben
Geschrieben

Moin,

 

vor 4 Stunden schrieb lizenzdoc:

Aber Externe (Gäste) darf u. muss man mit firmeneigenen Lizenzen lizenzieren, wenn diese im Sinne der Firma Arbeit leisten.

Arbeiten die aber ihr "eigenes Ding", ist das quasi "Hosting" und wäre mit den normen eigenen Lizenz nie erlaubt!

 

Das Wäre also SPLA und da braucht man ja eigene Server und Lizenzen dazu !

 

prima, dann lag ich ja mit meiner Einschätzung genau richtig.

 

Gruß, Nils

 

Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...