113726
Nov 05, 2013
6352
35
0
Clientcomputer zugriff auf Remote sperren
Hallo,
wir haben leider etwas "Zoff" mit unserm Servicetechniker, der unseren SBS damals aufgestellt hat.
Er hat sich schon einmal "beabsichtigt" auf unseren Server von Fern geschaltet und ich will ihn jetzt sperren, nicht das er irgendwie aus Frust Misst macht.
Ich denke das Admin Passwort ändern reicht nicht.
Was könnte ich noch ändern, um zb auch die VPN Verbindung zu sperren für die feste IP? Ohne VPN Verbindung kann er ja nicht zugreifen.
Danke im Voraus.
Manuel
wir haben leider etwas "Zoff" mit unserm Servicetechniker, der unseren SBS damals aufgestellt hat.
Er hat sich schon einmal "beabsichtigt" auf unseren Server von Fern geschaltet und ich will ihn jetzt sperren, nicht das er irgendwie aus Frust Misst macht.
Ich denke das Admin Passwort ändern reicht nicht.
Was könnte ich noch ändern, um zb auch die VPN Verbindung zu sperren für die feste IP? Ohne VPN Verbindung kann er ja nicht zugreifen.
Danke im Voraus.
Manuel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 221163
Url: https://administrator.de/contentid/221163
Printed on: April 20, 2024 at 04:04 o'clock
35 Comments
Latest comment
Moin,
hängt der SBS "direkt" am Internet oder gibt's eine Firewall/VPN Appliance "vorne dran"?
Wie verbindet er sich denn? Remote Desktop? VNC? TeamViewer und Konsorten?
Admin Passwort ändern wäre zumindest mal ein Anfang.
lg,
Slainte
hängt der SBS "direkt" am Internet oder gibt's eine Firewall/VPN Appliance "vorne dran"?
Wie verbindet er sich denn? Remote Desktop? VNC? TeamViewer und Konsorten?
Admin Passwort ändern wäre zumindest mal ein Anfang.
lg,
Slainte
Moin Slainte,
also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
Kan mir gut vorstellen, daß euer Servicetechniker genervt ist. Wenn jemand an den von mir installierten System mit seinem Halbwissen herumdoktert und im Schadensfall auf mich verweist, dann reagiere ich auch nicht unbedingt sehr freundlich...
Gruß, Arch Stanton
Gruß, Arch Stanton
4
Glaub mir, hier liegt die Schuld nicht an uns. Geht eben um nicht bezahlte Rechnungen zurrecht. Da muss erst ein Gespräch stattfinden. Aber ich will nur vorkehrmaßnahmen treffen.
Zitat von @113726:
Moin Slainte,
also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Und, gibts eine Portweiterleitung? Oder ist auf der Fritz ein VPN Zugang eingerichtet?Moin Slainte,
also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
Ja kannst du. Evtl. solltest Du dir aber mal überlegen jemand zu beauftragen der Ahnung von SBS Umgebungen hat sonst sitzt du uU schnell vor einem Scherbenhaufen.
Ja in der Fritzbox gibt es eine Weiterleitung VPN.
Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
Zitat von @113726:
Ja in der Fritzbox gibt es eine Weiterleitung VPN.
Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
Ja in der Fritzbox gibt es eine Weiterleitung VPN.
Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
bis die katastrophe kommt.
1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1
Hi,
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).
Gruß
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).
Gruß
Zitat von @killtec:
Hi,
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).
Gruß
Hi,
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).
Gruß
Leider benötige ich VPN selbst, um im Notfall von daheim oder unterwegs aus zu helfen.
Zitat von @ticuta1:
> Zitat von @113726:
> ----
> Ja in der Fritzbox gibt es eine Weiterleitung VPN.
>
> Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
bis die katastrophe kommt.
1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1
> Zitat von @113726:
> ----
> Ja in der Fritzbox gibt es eine Weiterleitung VPN.
>
> Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
bis die katastrophe kommt.
1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1
zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
zu 2: siehe oben, geht leider nicht da ich selbst VPN benötige. Sonst kann ich ja nicht von daheim aus bzw. mit dem Smartphone auf dem Server zugreifen ohne VPN oder?
zu 3: er hat keinen eigenen Account. Er loggt sich als Administrator ein.
zu 4: das weiß ich leider nicht
zu 5: er kennt die Kennwörter bzw. das Kennwort der VPN Verbindung und des SBS Administrators
Bisher hat Google selbst bei schwierigen Aufgaben geholfen. Es muss auch Frischlinge in der SBS Administration geben, da muss man nicht immer gleich eine Firma heran holen. Und wenn es wirklich kompliziert wird, haben wir immer noch eine an der Hand.
Zitat von @113726:
> Zitat von @ticuta1:
> ----
> > Zitat von @113726:
> > ----
> > Ja in der Fritzbox gibt es eine Weiterleitung VPN.
> >
> > Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
>
> bis die katastrophe kommt.
>
> 1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
> 2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
> 3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
> 4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
> 5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
> du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
> LG, ticuta1
zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
dann für dich einen zweiten admin einrichten [der vorhandenen klonen] und dann der standardadmin deaktivieren.> Zitat von @ticuta1:
> ----
> > Zitat von @113726:
> > ----
> > Ja in der Fritzbox gibt es eine Weiterleitung VPN.
> >
> > Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
>
> bis die katastrophe kommt.
>
> 1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
> 2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
> 3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
> 4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
> 5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
> du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
> LG, ticuta1
zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
zu 2: siehe oben, geht leider nicht da ich selbst VPN benötige. Sonst kann ich ja nicht von daheim aus bzw. mit dem
Smartphone auf dem Server zugreifen ohne VPN oder?
ein persönliches VPN konto erstellen, testen und dann sein sperren.Smartphone auf dem Server zugreifen ohne VPN oder?
zu 3: er hat keinen eigenen Account. Er loggt sich als Administrator ein.
s. antwort auf 1.zu 4: das weiß ich leider nicht
dan überprüfe das ;) so schwierig ist es nichtzu 5: er kennt die Kennwörter bzw. das Kennwort der VPN Verbindung und des SBS Administrators
wenn nur dei beiden ... kanst du ihm schnell sperren und vergisst nicht dass einen Eventlog auf DC gibt der alles protokoliert.Bisher hat Google selbst bei schwierigen Aufgaben geholfen. Es muss auch Frischlinge in der SBS Administration geben, da muss man
nicht immer gleich eine Firma heran holen. Und wenn es wirklich kompliziert wird, haben wir immer noch eine an der Hand.
PS Juristisch ist das mit einen einzigen Admin nicht sauber
LG, ticuta1
Danke dir
Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja das gleiche dabei raus kommen.
Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich nicht.
zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?
zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS Installation erstellt wird. Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der deaktiviert ist, aber er ist bestimmt versteckt)
Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja das gleiche dabei raus kommen.
Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich nicht.
zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?
zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS Installation erstellt wird. Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der deaktiviert ist, aber er ist bestimmt versteckt)
Zitat von @113726:
Danke dir
bitteDanke dir
Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja
das gleiche dabei raus kommen.
Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich
nicht.
zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?
zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff
erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
wie sind die zugriffrichtlinien bei wiederhollten falschangabe des kennworts? (kontosperrung nach 5 falsche angaben? făr 24 stunden oder für 30 min? welche dienste wären in diesem fall betroffen?erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS
Installation erstellt wird.
Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der
deaktiviert ist, aber er ist bestimmt versteckt)
locale admin wird nicht in AD gelistet sonder in der lokale benutzergruppedeaktiviert ist, aber er ist bestimmt versteckt)
LG,
ticuta1
Hallo,
mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:
Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen Gründen nicht mehr will/kann.
Gruß,
VGem-e
mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:
Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen Gründen nicht mehr will/kann.
Gruß,
VGem-e
Es liegt zwar eine setupdatei von Teamviewer auf dem Desktop, aber installiert ist das Programm nicht. War wohl mal für die Zukunft gedacht.
LG
Manuel
welche SBS hast du?
SBS 2011 Standardwie sind die zugriffrichtlinien bei wiederhollten falschangabe des kennworts? (kontosperrung nach 5 falsche angaben? făr 24
stunden oder für 30 min? welche dienste wären in diesem fall betroffen?
Da haben wir nichts hinterlegt in den GPOs. Kontosperrungsschwelle ist auf 0 ungültige Anmeldeversuche.stunden oder für 30 min? welche dienste wären in diesem fall betroffen?
wenn zwei oder mehreren Admins auf dem server zugriff haben...dann getrennten konten. damit man einen übeltäter
entdecken kann.
OK also füge ich einfach im AD einen neuen User hinzu und gebe ihn Adminrechte bzw. wenn ich eh den Zugriff für ihn sperren will, dann brauch es ja nur weiterhin einen Admin.entdecken kann.
locale admin wird nicht in AD gelistet sonder in der lokale benutzergruppe
OK perfekt dankeLG
Manuel
Zitat von @VGem-e:
Hallo,
mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:
Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen
Gründen nicht mehr will/kann.
Gruß,
VGem-e
Hallo,
mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:
Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen
Gründen nicht mehr will/kann.
Gruß,
VGem-e
Danke für den Tipp, dann lege ich mir auch mal einen zweiten An. Ich kopiere ihn einfach im AD.
hallo wieder,
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1
Hi,
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.
Gruß
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.
Gruß
Hallo,
eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.
Beste Grüße
Manfred
eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.
Beste Grüße
Manfred
Zitat von @ticuta1:
hallo wieder,
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1
hallo wieder,
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1
Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte
Zitat von @killtec:
Hi,
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.
Gruß
Hi,
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.
Gruß
Hi und danke,
Port 1723 habe ich umgeleitet, GRE aber noch nicht. Bisher ging es aber auch ohne.
Macht es wirklich Sinn, dann Software aufzuspielen um den VPN Tunnel direkt in der FB einzurichten?
Kennwort der Box ist umgeändert.
Zitat von @Manfred15:
Hallo,
eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er
diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.
Beste Grüße
Manfred
Hallo,
eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er
diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.
Beste Grüße
Manfred
Interessante Idee, nur die Frage ob es dann nicht mit anderen Programmen Probleme gibt?
Interessante Idee, nur die Frage ob es dann nicht mit anderen Programmen Probleme gibt?
Ich wüsste nicht warum? Du musst natürlich einen Port aussuchen, der nicht bereits genutzt wird.
hallo,
dagegen spricht die benutzung eines einfachen portscanners
LG, ticuta1
dagegen spricht die benutzung eines einfachen portscanners
LG, ticuta1
Zitat von @113726:
> Zitat von @ticuta1:
> ----
> hallo wieder,
> wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
> LG,
> ticuta1
Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze
AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte
> Zitat von @ticuta1:
> ----
> hallo wieder,
> wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
> LG,
> ticuta1
Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze
AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte
es ist einen weiteren AdminKonto der für spezielle / Notfallaufgaben benutzt werden kann :D
dagegen spricht die benutzung eines einfachen portscanners
LG, ticuta1
LG, ticuta1
Ist schon klar, ab wenn man ihm die Nutzung eines Portscanners nachweisen kann - z.B. dadurch, dass man feststellt, dass er sich trotzdem aufgeschaltet hat - dann geht dies schon über die normale Fernwartung in Richtung Hacking hinaus
Beste Grüße
Manfred
wenn er dumm ist, ja!
aber wenn er ein wenig gehirn hat?
LG,
ticuta1
aber wenn er ein wenig gehirn hat?
LG,
ticuta1
hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
2Zitat von @113436:
hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
1
Zitat von @SlainteMhath:
Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
Hi Slainte,Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
sei doch nicht gleich so ...
... es ist ja nicht so, dass sich @113436 das erste Mal durch solche Aussagen ins Abseits schießt ...
... man kann ja grad froh sein, dass er hier seinen Nonplus-Ultra Tipp Neuinstallation nicht gebracht hat
... für alle die nicht wissen was ich meine: Beim Versuch zu drucken friert der Rechner immer ein
... und mit der Groß- / Kleinschreibung sieht es der User auch nicht so eng - wird ja überbewertet Heutzutage ...
Gruß
@kontext
Moin,
Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:
"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.
wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie paranoid man ist):
lks
PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind. Das vermeidet Mißverständnisse.
Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:
"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.
wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie paranoid man ist):
- Zwangsweise alle(!) Paßwöter ändern, bzw. die Benutzer zwingen, diese zu ändern. Lokale Konten nicht vergessen!
- Fritzbox gegen ordentlichen Router/Firewall austauschen.
- In der FW erstmal alles dichtmachen und Verbindungsversuche rein und raus protokollieren.
- VPN mit Zertifikaten einrichten.
- Verbindungen nach draußen über proxy leiten.
- zumindest Server und "wichtige" Arbeitsstationen nach Hintergrundprogrammen scannen.
- Drucker und andere Netzwerkgeräte nicht aus dem Fokus verlieren. Mit diesen kann man über "Fernverwaltung" auch genug Blödsinn anstellen.
lks
PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind. Das vermeidet Mißverständnisse.
1Zitat von @Lochkartenstanzer:
Moin,
Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:
"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.
Nunja eigentlich schon, ja. Aber durch die ganze Sache jetzt kann natürlich ein Misstrauen entstehen. Und da gehe ich lieber auf Nummer sicher.Moin,
Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:
"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.
wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie
paranoid man ist):
Werde ich machen!paranoid man ist):
- Zwangsweise alle(!) Paßwöter ändern, bzw. die Benutzer zwingen, diese zu ändern. Lokale Konten nicht
* Fritzbox gegen ordentlichen Router/Firewall austauschen.
Ist schon in Arbeit.* In der FW erstmal alles dichtmachen und Verbindungsversuche rein und raus protokollieren.
OK* VPN mit Zertifikaten einrichten.
Da muss ich mich schlau machen, wie das machbar ist.* Verbindungen nach draußen über proxy leiten.
OK schau ich mir ebenfalls an.* zumindest Server und "wichtige" Arbeitsstationen nach Hintergrundprogrammen scannen.
OK* Drucker und andere Netzwerkgeräte nicht aus dem Fokus verlieren. Mit diesen kann man über "Fernverwaltung"
auch genug Blödsinn anstellen.
Danke für den Tipp.auch genug Blödsinn anstellen.
lks
PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind.
Das vermeidet Mißverständnisse.
Manuel
Hallo,
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
marco
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
marco
Hey,
keine Ahnung ob die Antwort jetzt ober schon war, aber ich sags trotzdem mal.
Wenn RDP genutzt wird muss es ein Portforwarding geben, wenn du nun statt Port 3389 (RDP) einen anderen nominierst kommt man von extern nicht mehr drauf außer man weiß den neuen Port.
Also statt 3389 => rechner:3389 auf zB.: 63389 => rechner:3389 ändern.
Nur so ein Gedanke.
LG mcdy
keine Ahnung ob die Antwort jetzt ober schon war, aber ich sags trotzdem mal.
Wenn RDP genutzt wird muss es ein Portforwarding geben, wenn du nun statt Port 3389 (RDP) einen anderen nominierst kommt man von extern nicht mehr drauf außer man weiß den neuen Port.
Also statt 3389 => rechner:3389 auf zB.: 63389 => rechner:3389 ändern.
Nur so ein Gedanke.
LG mcdy
Zitat von @113436:
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
Muß er ins Internet?
Abgesehen davon war ja die Rede vom kontrollierten Zugang ins Internet, wie z.B. Application level Proxy, wünschenswerterweise gelcih mit Authentifikation. Dann fällt halt auf, wenn Software versucht "nach Hause zu telefonieren".
lks
1
