Benutzer/Daten Netzwerk Policy

[kuero 10]

Ein Kunde hat die überlegung sein Netzwerk vor internen Datenmissbrauch zu schützen.

(Datendiebstahl)

 

Es ist ein einfach Strukturiertes Netz aus einem Netzlaufwerk wodran mehrere Clients angebunden sind.

 

Prinzipiel hat jeder Client Zugriff auf alle Daten, außer auf die der Geschäftleitung.

(Das ist auch so gewünscht und soll auch weiterhin so bleiben.)

 

Hier nochmal kurz zur besseren Verständigung ein Bild.

 

 

Der Rote Kreis spiegelt, meinen Vorschlage wieder.

Alle Client werden soweit abgesichert das keine Daten über CD/DVD, USB, Externen Festplatten oder ähnliches z.B. Booten vom CD/DVD Laufwerk vom Mitarbeiter kopiert werden können. (Vorteil des ganzen ist das weiterhion alle Mitarbeiter Zugriff auf alle Daten haben, aber nichts auf externe Medien kopiert werden können)

 

Der Kunde möchte aber das die Benutzerbezogene Sicherheit bereits auf dem Server geschiet (Blauer Kreis).

 

Jetzt stellt sich für mich die Frage, wie soll ein System , wo grundsätzlich der Zugriff auf alle Daten vorhanden sein soll denn Abgesichert werden ??? Das ist doch PARADOX.

 

Wie denkt ihr darüber, welche Argunmente Sprechen für das eine oder gegen das andere.

 

Derzeit werden die benötigten Daten zum Arbeiten vom Netzlaufwerk auf den Client Rechner kopiert, bearbeitet und wieder zurück auf Netzlaufwerk geschoben.

[CoolAce 17]

Hy

 

ich würde an deiner Stelle folgendes machen, Auf den Clients darf auf C nichts mehr gespeichert werden, also Rechte anpassen und Profil beschränken Desktop 10 oder 20 MB.

Vorteil; Kein Datenverlust oder klau

Keine lokalen Admins

 

Auf dem Server selbst kann man nur mit Berechtigungen arbeiten, was schwer fällt wenn alle bis auf einen Ordner reinkucken dürfen bzw. du könntest gewisse Gruppen auf nur Lesen beschränken sprich eine Berechtigungsstruktur aufbauen

 

Clientseitig kannst du wie gesagt viele Sachen (USB etc sperren)

 

Gruß

 

CoolAce

[Der-Sensenmann 10]

denke auch an FTP und andere internetprotals z.b. rapidshare.de -> Firewall dicht machen!

[kuero 10]

@CoolAce: Das ist zwar ein sehr guter Ansatz nur leider ist es doch im grunde egal, ob ich 20 MB oder 20 GB zum Arbeiten habe.

 

Entwerder schaufelt ich Daten Stückweise oder im ganzen, wenn ich einen Weg heraus gefunden habe.

 

Es läuft anscheint irgendwie darauf hinaus das Daten Grundsätzlich sich nur auf dem Server befinden und diese auch nur von dort aus geöffnet als auch gespeichert werden dürfen.

Auf den Client Rechnern befindet sich dan nur noch die Software um die Daten zu öffen um mit dehnen arbeiten zu können.

 

Wie hört sich diese Methode an ?

 

@Der-Sensenmann

FTP zu schließen ist easy, aber rapidshare und etc. könnte komplizierter werden.

 

Wie werden die Daten bei den Fileshare Portalen überhaupt hochgeladen, muss dazu die eigen vom Anbieter erstellt Software genutzt werden oder wie kann diese Lücke am besten geschlossen werden ?

 

Vielen Dank für eure Ideen schonmal im vorraus.

[CoolAce 17]

Auf den Client Rechnern befindet sich dan nur noch die Software um die Daten zu öffen um mit dehnen arbeiten zu können. (genau das meinte ich)

 

Imho gibts immer eine Möglichkeit mit Daten abzuhauen man kann es nur erschweren. Du könntest natürlich im extremsten Fall alle Clients auf Thinclients umstellen und Sie nur noch am TS arbeiten lassen.

[kuero 10]

Welche Perfomance muss denn ein TS haben um mit ca. 15 Client darauf arbeiten zu können ??

 

Ich schätze dann müssen auch GIGABIT Switche zum Einsatz kommen, die Kabel wären dafür vorhanden.

 

Wie sieht es aus mit System die auch Mobile im Einsatz sind, kenne mich in der TS System nicht bestens aus. (Mail Verfügbarkeit usw. Synchronisation etc.)

 

So langsam nicht das alles Maße an die mir Angst machen ;)

[CoolAce 17]

Es kommst drauf an was alles läuft. So ca. 8GB Ram und ein netter Prozi.

Dafür können die Clients nichts besonderes sein.

Vorteil; Es werden nur Bildinformationen übertragen die sind ned so groß

 

Mobile Clients können Sich da auch via Remote Desktop drauf verbinden nachdem sie ein VPN Verbindung haben. Mails liegen nicht auf dem TS sondern auf dem Exchance.

[kuero 10]

Die TS Lösung finde ich sehr interessant, aber diese ist sicher auch Lizenztechnisch die Teuerste.

 

Wie sieht es überhaupt mit Software der Verfügbarkeit aus, ist z.B. Adobe, Firefox in der Lage gleichzeitig von 20 clients auf einem TS genutzt zu werden ?

 

Von MS Office SBS weiß ich das es Server Office Versionen gibt.

 

Oder ist es da nicht besser die Software direkt auf den Clients zu Installieren, den Schreibzugriff auf die Festplatten zu Sperren sodass alle Daten nur direkt auf dem Server Laufwerk geöffnet/gespeichert werden können ?

[CoolAce 17]

Von der Installation her gesehen kannst du alles auch auf dem TS laufen lassen,

Lizenzfrage ist richtig, du brauchst auch entsprechend Lizenzen dafür.

 

Installationstechnisch kommt es drauf an , du kannst entweder reine Thin Clients verwenden die nur die Remotedesktop verbindung zum TS machen mehr nicht, oder

 

Die Programme auf der WS installieren, aber Profil und Rest servergespeichert oder Profil lokal und Ordnerumleitung für Eigene Dateien, Desktop und Anwendungsdaten.

 

Gruß

 

CoolAce

[kuero 10]

Welcher Weg hat sich den in der Praxis bewährt, ich habe noch keine Erfahrungen, würde gerne zumindest den Richtigen weg einschlagen .

 

Die meiste Software ist auf Fat Clients programmiert, da eine breite Pallete an Software zur Verfügung stehen muss ist sicherlich mit Problemen bei einen Think Client System zu rechnen.

 

Deine Erfahrungen könnten sicher ein große Hilfe sein, bevor ich verusche ein Fahrad mit viereckigen Felgen ins Rollen zu bekommen ;) (Soll nicht heißen das ich dich ständig versuchen werde Probleme hier zu lösen ohne selbst es versucht zu haben)

[CoolAce 17]

Kein Thema ,helf gern denn auch mir wird hier geholfen :D

 

Wenn die von der Programmierung FAT brauchen dann macht es mehr Sinn die Programme an sich auf dem client laufen zu lassen da ich FAT auf dem Server als sehr sicherheitsbedenklich halte .

 

Am besten über GPO die Ordnerumleitung anschalten oder Servergespeicherte Profile machen. Das HowTo gibts unter Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Restliche Daten einfach auf dem Server, vorteil bei der Geschichte du kannst auch mit RIS arbeiten , wenn etwas ned richtig funzt einfach neu betanken und kein Problem ob der User sonstwo noch Daten hat.

 

Nachteil: Da du lokal FAT verwendest kannst aber keine Rechte machen das User nichts speichern dürfen lokal, erfordert NTFS

[kuero 10]

wir haben uns falsch verstanden ;)

 

Mit Fat Clients meinte ich nicht FAT Partitionen sondern, das die meiste Software FAT Clients Programmiert ist ( Programmiert um auf Client Rechner zu laufen und nicht TS mit TC).

 

Gefunden habe ich diesen Ausdruck bei Thin Client - Wikipedia

 

dort wird es folgendermaßen erläutert :

Die meisten Windows-Anwendungen werden für Fat Clients programmiert. Daher muss bei einer Thin-Client Architektur mit Problemen gerechnet werden.

 

Sorry das habe ich mich wohl die falsche Formulierung gewählt.

[CoolAce 17]

Ok, dann hab ich das falsch verstanden

 

Wenn das nicht funzt dann entfällt die TS varriante, aber du kannst ja Trotzdem die Sache mit RIS ;ordnerumleitung und Restritktion bei der lokalen Datenspeicherung

[kuero 10]

Die Seiten mit den Gruppenrichtlinien scheint sehr interesant zu sein, ich habe bereits themen gefunden die ich einarbeiten werde, vielen Dank für den Tip.

 

Ich denke es läuft alles auf das loggen von Zugriffen aus und ein paar geschütze Bereiche für die Geschäftsleitung und Mitarbeiter.

 

Somit kommt Struktur in die Sache, dazu noch die Client Absicherung.

Mal sehen was die Verantworlichen dazu sagen.

 

Ich danke dir Herzlich für deine Unetrstützung. Falls du mal ein paar Fragen zum Fussball haben solltest, kann ich dir sicher helfen ;)

[CoolAce 17]

kein thema freut mich wenn ich dir helfen konnte, sollte ich mal Fragen haben so werde ich mich direkt an dich wenden