9
Daten sicher vom virtuellen PC auf den Host
Guten Morgen,
wir sind auf der Suche nach einer Lösung, wie man Daten "sicher" von einem virtuellen PC (SurfPC) auf einen Host übertragen kann.
Wir sperren gerade auf den Arbeitsplätzen das Internet und die Kollegen bekommen einen virtuellen PC auf den sie per RDP gehen können, wo sie Surfen und EMails abrufen können.
Jetzt kommen per Email einige Dokumente, die in unser Verwaltungssoftware rein müsste, die auf dem Host läuft.
Wenn wir jetzt das Netzlaufwerk durchreichen, dann haben wir die Sicherheit wieder umgangen.
Ziel soll es sein, dass nur geprüfte Anhänge übertragen werden, damit wie keine Viren usw. übertragen.
Ein Idee war, es gibt auf dem SurfPC ein Verzeichnis, dort legt man die Dokumente ab und die werden dann automatisch auf ein Netzlaufwerk übertragen.
Aber mit welcher Lösung?
Habt ihr eine Idee wie man das machen könnte.
wir sind auf der Suche nach einer Lösung, wie man Daten "sicher" von einem virtuellen PC (SurfPC) auf einen Host übertragen kann.
Wir sperren gerade auf den Arbeitsplätzen das Internet und die Kollegen bekommen einen virtuellen PC auf den sie per RDP gehen können, wo sie Surfen und EMails abrufen können.
Jetzt kommen per Email einige Dokumente, die in unser Verwaltungssoftware rein müsste, die auf dem Host läuft.
Wenn wir jetzt das Netzlaufwerk durchreichen, dann haben wir die Sicherheit wieder umgangen.
Ziel soll es sein, dass nur geprüfte Anhänge übertragen werden, damit wie keine Viren usw. übertragen.
Ein Idee war, es gibt auf dem SurfPC ein Verzeichnis, dort legt man die Dokumente ab und die werden dann automatisch auf ein Netzlaufwerk übertragen.
Aber mit welcher Lösung?
Habt ihr eine Idee wie man das machen könnte.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668632
Url: https://administrator.de/contentid/668632
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Macht doch einfach einen share auf einer "Prüfmaschine" - wie die auch immer geartet sein mag - und legt die Daten da ab. Wenn die Software oder der Mensch diese Daten geprüft hat, kann der diese Daten auf den Host verschieben.
Wenn die Daten maschinell geprüft werden, z.B. durch snakeoil (TM), kann das auch automatisiert passieren, ansonsten muß das der menschliche Prüfer manuell machen.
lks
Macht doch einfach einen share auf einer "Prüfmaschine" - wie die auch immer geartet sein mag - und legt die Daten da ab. Wenn die Software oder der Mensch diese Daten geprüft hat, kann der diese Daten auf den Host verschieben.
Wenn die Daten maschinell geprüft werden, z.B. durch snakeoil (TM), kann das auch automatisiert passieren, ansonsten muß das der menschliche Prüfer manuell machen.
lks
1
Du kannst es so recht gut lösen:
Auf dem Surf-PC gibst Du den Downloadordner frei nur mit Leserechten (NTFS-Rechte: schreiben, Freigaberechte: lesen). Somit kann der PC im sicheren Netz die Downloads lesen, es können von dem sicheren PC auf diesem Weg aber keine Daten auf den Surf-PC gelangen.
Es wäre gut, auf dem Surf-PC einen anderen Virenscanner als auf dem sicheren PC einzusetzen, so dass die Downloads zumindest von 2 Scannern geprüft werden.
Auf dem Surf-PC gibst Du den Downloadordner frei nur mit Leserechten (NTFS-Rechte: schreiben, Freigaberechte: lesen). Somit kann der PC im sicheren Netz die Downloads lesen, es können von dem sicheren PC auf diesem Weg aber keine Daten auf den Surf-PC gelangen.
Es wäre gut, auf dem Surf-PC einen anderen Virenscanner als auf dem sicheren PC einzusetzen, so dass die Downloads zumindest von 2 Scannern geprüft werden.
1Zitat von @DerWoWusste:
Du kannst es so recht gut lösen:
Auf dem Surf-PC gibst Du den Downloadordner frei nur mit Leserechten (NTFS-Rechte: schreiben, Freigaberechte: lesen). Somit kann der PC im sicheren Netz die Downloads lesen, es können von dem sicheren PC auf diesem Weg aber keine Daten auf den Surf-PC gelangen.
Du kannst es so recht gut lösen:
Auf dem Surf-PC gibst Du den Downloadordner frei nur mit Leserechten (NTFS-Rechte: schreiben, Freigaberechte: lesen). Somit kann der PC im sicheren Netz die Downloads lesen, es können von dem sicheren PC auf diesem Weg aber keine Daten auf den Surf-PC gelangen.
Man kann natürlich statt wie oben die Daten zentral in einem Prüfshare abzulegen, wie hier vorgeschlagen auf den "Internet-PCs" die Daten einsammeln. Und dann wie oben vorgeschlagen weitermachen. Für die Automatisierung ist das Ablegen an zentraler Stelle imho geschickter, Weill dann nicht mehrere Ordner/shares durchforstet werden müssen.
lks
Auch sei gesagt, dass das Konzept, per RDP auf den Surf-PC zu gehen, zunächst gut ist, aber natürlich gut und weniger gut umgesetzt werden kann. Am besten wäre der Zugriff mit einem lokalen (non-Domain) Konto, so dass vom surf-PC keine Domänencredentials abfließen können. Dafür kann man dann auch guten Gewissens den Nutzernamen und Kennwort einspeichern,
Am zweitbesten wäre, falls man das lokale Konto nicht will, dass man remote credential guard aktiviert. Somit wäre ebenfalls sichergestellt, dass die Credentials nicht am Surf-PC abgreifbar sind.
Am zweitbesten wäre, falls man das lokale Konto nicht will, dass man remote credential guard aktiviert. Somit wäre ebenfalls sichergestellt, dass die Credentials nicht am Surf-PC abgreifbar sind.
1
Wir haben in den SurfPCs eigene lokale Benutzer, die sind auch nicht in einer Domäne.
Das Problem, die Mitarbeiter verstehen nicht wann sie wo die Dateien hin kopieren sollen/müssen.
Darum war unsere Idee sie legen es auf einem Ordner im SurfPC ab und es wird im Hintergrund automatisch auf den Server kopiert.
Das Problem, die Mitarbeiter verstehen nicht wann sie wo die Dateien hin kopieren sollen/müssen.
Darum war unsere Idee sie legen es auf einem Ordner im SurfPC ab und es wird im Hintergrund automatisch auf den Server kopiert.
Binde Ihnen am sicheren PC ein Netzlaufwerk zu den Downloads ein, das ist doch kein Ding.
Wenn Du es auf dem surf-PC belässt, anstatt damit deinen Server vollzumüllen, würde ich dir raten, folgende Ansage zu treffen: "Alles Wichtige, wass aufgehoben werden muss, muss aus dem Download-Netzlaufwerk rauskopiert werden an einen geeigneten Ort".
Und dann setze einen geplanten Task ein, der per Skript alles, was älter als 2 oder 3 Wochen ist, löscht - so läuft dann auch der Surf-PC nicht voll.
Natürlich kannst Du das gewünschte Kopieren auch über alles per Skript am Server machen - dazu musst Du eben dort ein Konto in einem geplanten Task nutzen, das auf alle Downloadfreigaben Leserechte hat.
Wenn Du es auf dem surf-PC belässt, anstatt damit deinen Server vollzumüllen, würde ich dir raten, folgende Ansage zu treffen: "Alles Wichtige, wass aufgehoben werden muss, muss aus dem Download-Netzlaufwerk rauskopiert werden an einen geeigneten Ort".
Und dann setze einen geplanten Task ein, der per Skript alles, was älter als 2 oder 3 Wochen ist, löscht - so läuft dann auch der Surf-PC nicht voll.
Natürlich kannst Du das gewünschte Kopieren auch über alles per Skript am Server machen - dazu musst Du eben dort ein Konto in einem geplanten Task nutzen, das auf alle Downloadfreigaben Leserechte hat.
Wenn ich das Netzlaufwerk in de Surf PC einbinde und dort ein Verschlüsselungstrojaner startet, dann ist das Netzlaufwerk auch mit verschlüsselt, das wollen wir ja vermeiden. Sonst könnten wir sie ja gleich auf den lokalen PCs surfen lassen
Zitat von @lordfire112:
Wenn ich das Netzlaufwerk in de Surf PC einbinde und dort ein Verschlüsselungstrojaner startet, dann ist das Netzlaufwerk auch mit verschlüsselt, das wollen wir ja vermeiden. Sonst könnten wir sie ja gleich auf den lokalen PCs surfen lassen
Wenn ich das Netzlaufwerk in de Surf PC einbinde und dort ein Verschlüsselungstrojaner startet, dann ist das Netzlaufwerk auch mit verschlüsselt, das wollen wir ja vermeiden. Sonst könnten wir sie ja gleich auf den lokalen PCs surfen lassen
Genau deswegen erstellt Du eine eigene Freigabe/Share extra für den "Download der Internet-PCs". Da sollten sonnst keine anderen Daten dort liegen. Und wenn Du die rechnte passend vergibst, können die PCs sogar nur ihre eigenen dateien und keine anderen kapuut machen. Genau deswegen gibt es ja Zugriffsrechte, damit nicht jeder die Dateien der anderen vermurksen kann. Nur werden diese halt selten korrekt gesetzt.
lks
Wenn ich das Netzlaufwerk in de Surf PC einbinde und dort ein Verschlüsselungstrojaner startet...
Nein, das ist doch gar nicht mein Vorschlag. Das Netzlaufwerk bindest Du am sicheren PC ein. Vom Surf-PC besteht keinerlei Zugriff auf irgendwelche Netzlaufwerke oder Freigaben. Da eine Mailware mit Userrechten eines lokalen Nutzers laufen würde, könnte die noch nicht einmal Ressourcen der Domäne erreichen.
