Eurer VPN-Lösung von zuhause in die Firma

Bei uns auch Citrix.
Wer kein Notebook hat und den privaten Rechner nutzt, der kann sich per Citrix HTML5 Receiver bzw per Workspace App auf einen Terminalserver einloggen.
Citrix hat Azure MFA zur Authentifizierung, von daher ist das mit der Security auch geregelt.

Hier fast ähnlich, nur dass wir keine 2MFA von Azure nutzen, sondern von Gemalto.
Als Bindeglied greift der Citrix NetScaler...

Läuft hier und alles sind zufrieden, weil es einfach ist.
"Rufe citrix.contoso.tld auf"
"Melde dich mit dem Token vom Handy an"
"Arbeite"

Gruß
em-pie

Also über die Firewall kannst du schonmal ne ganze Menge aus dem Netz raus halten. SMB/CIFS solltest du auf jeden Fall mit privaten Geräten unterbinden, eigentlich alles und nur RDP auf machen. Außerdem das mounten von Speicher in der Terminal Sitzung und die Zwischenablage deaktivieren.

Verstehe ich das richtig das sich jeder Mitarbeiter auf einen eigenen Fat Client in der Firma aufschaltet? Ideal wäre das nicht, besser ein Terminal Server. Es muss ja nicht gleich Citrix sein, das bietet aber natürlich noch das ein oder andere Sicherheitsfeature.

Teilweise 2) mittels Ecos SBS
https://www.ecos.de/produkte/secure-boot-stick/secure-boot-stick-sx
Geringe Restrisiken.

Moin,


Wir kaufen mehr Notebooks. Die Coronabooks haben dafür eine eigene Kostenstelle bekommen.


Mein (noch) Arbeitgeber ist da der Meinung, dass das Aufgabe des Arbeitgebers ist, wie es ja auch im Gesetz steht. Damit gebe ich keine allgemeingültige Rechtsauskunft, sondern nur die Meinung meines Arbeitgebers wieder. Bloß keine Debatte darüber.


Ja.


Das ist sogar laut IT-Richtlinien verboten. Privatgeräte dürfen nicht für dienstliche Zwecke benutzt werden. Wer was braucht, der kriegt es auch.


Technisch gibt es da sicherlich gute Lösungen ob mit RDP oder mit Citrix. Eigentlich egal. Aber ich halte auch aus technischer Sicht nichts davon. Das muss nämlich auch supportet werden. Und wie will ich ein Gerät supporten, bei dem der Admin ein Laie ist? Was ich in den letzten zwei Jahren an privaten DSL-Problemen supporten musste, weil die Leut nicht arbeiten konnten, war schon schlimm genug. Ich sag nur: Privatkundenhotlinehölle! "Bitte legen Sie nicht auf! Wir sind gleich für Sie da!" Seltsame Vorstellung von "gleich".

Auf Firmengeräten habe ich eine wohldefinierte Umgebung, an der der User nichts ändern kann. Privatnutzung ist verboten. Damit ist alles, was sonst noch aus guten und nicht moralischen Gründen verboten ist, auch gleich vom Tisch. Wer's doch macht und erwischt wird, riskiert seinen Job. Der Supportaufwand für das Home-Office ist m. E. sowieso schon hoch genug. Da kann ich keine Rechner gebrauchen, auf denen alle Nas' lang Spiele installiert und deinstalliert werden. Der nie neu gestartet wird, weil der User den "Ruhezustand" entdeckt hat, auf dem alle Nas' lang irgendeine Social Media App installiert wird usw. usf.

Und dann bleibt da immer noch das gar nicht so erhebliche Risiko eines Durchbruchs. Das ist doch so schwer nicht. Wenn sich der Mitarbeiter (wenn ich so darüber nachdenke, waren es bis auf einmal alles Männer, mit denen es Vorfälle gab ...), der ja schließlich Admin-Rechte auf seinem PC hat. Ist ja seiner. Kann ich ihm nicht verbieten. Wenn sich also dieser Mitarbeiter einen Trojaner einfängt oder ihn sogar gezielt untergejubelt bekommt, der sich in Tastatur, Kamera und Bildschirm hooked, dann ist der Durchbruch auf die Firmendaten komplett. Gelingt es mir, auf die Schnittstellen direkt zuzugreifen, dann sind alle Verschlüsselungen ausgehebelt. Wenn ich das jetzt weiter ausführe, verstoße ich, glaube ich, gegen die Forumsregeln.

Das wären meine Gründe, warum ich langfristig immer daraufhin arbeiten würde, dass alle die Ausstattung bekommen, die sie brauchen. Und so teuer ist das nun auch nicht. Mittlerweile bekommt man schon wieder ganz ordentliche Notebooks für unter 500€ netto. Mir wurde gerade eins angeboten für 478€. Reicht für VPN und RDP. Dann noch einen schicken Monitor für ca. 150€, Maus und Tastatur auch nochmal 50€ (das kann mit Ergo-Maus mal auch ein wenig mehr sein). Insgesamt 700€. Abgeschrieben auf 5 Jahre macht das schlappe 140€/MA/a. Nicht gerade viel dafür, dass ich Rechner habe, die unter meiner vollen Kontrolle stehen.

my 2 cents

Moin,
a) Kollegen, welche ein dienstliches Notebook haben, können diese mitnehmen. Sobald eine Internetverbindung besteht, erfolgt ein automatischer VPN-Verbindungsaufbau zum Firmennetz.
b) Wir haben 90% der IT-Arbeitsplätze in einer VDI. Somit kann der Zugriff von zu Hause via Browser (HTML5) oder bei schmallbandigen Anschlüssen via Software Client in Kombination mit OTP Hardware Token eine Verbindung hergestellt werden. Über DriveLock stellen wir sicher, dass nur autorisierte Geräte in die Sitzung weitergereicht werden.

Gerade letzte Option kommt sehr oft zum Einsatz. So dass keine weitere Hardware zu Hause steht. Kommt bei vielen Leuten sehr gut an. Ansonsten gibt's eben ein Thicnlient mit TFT mit nach Hause. Spätestens dann überlegen es sich viele zwei Mal.


Gruß,
Dani

hi

Zugriff nur auf eine VDI via Client oder Browser

wenn du den RDP Port direkt aufmachst, kannst du darauf warten, dass ihr euch etwas einfangt.

Wir nutzen VMware Horizon mit 2FA für externen Zugriff und Intern in der Produktion RDS Server. Diese kann man aber auch über den RDS Gateway Server veröffentlichen. Mittlerweile auch als HTML5 Applikation

Die MA bekommen Thinclient mit IGEL OS mit nach Hause, sofern sie kein Firmen Notebook besitzen.

Hallo,
so standen wir im letzten Jahr auch mal da, mittlerweile haben alle Notebooks und Citrix.

Auf die Schnelle geht aber:
- VPN-Client (SSL oder IPSec, IKEv2) auf dem privaten PC installieren lassen
- VPN macht nur RDP und wenn es sein muss DNS
- auf den Firmen PCs RDP und WOL konfigurieren

VG,
Deepsys

Windowss 11 aus der Clound von Microsoft nutzen. Deutlich performanter als irgend so ein legacy Citrix-Schrott.
Von dort dann meinetwegen per OpenVPN in die Firma.