Datenaustausch zwischen Laptop und Firmennetzwerk erlauben
Hallo Kollegen,
ich habe ein Problem bzgl. den Anforderungen der einzelnen Abteilungen.
Ausgangssituation:
Einige Mitarbeiter besitzen Notebooks, auf denen sie Adminrechte besitzen, die aber nicht ans Firmennetzwerk angeschlossen werden dürfen. Wenn sie Dateien am Wochenende oder auf Dienstreisen bearbeiten möchten, müssen sie zu uns Admins kommen und dann werden die Dateien via USB – Stick auf das Laptop übertragen und umgekehrt.
Es tritt aber sehr häufig die Situation ein, dass abends z. B. um 20:00 Uhr oder am Samstag noch Dateien auf dem Laptop benötigt werden und kein Admin ist verfügbar, um sie einzuspielen. Natürlich macht sich dann Unmut breit.
Momentane Variante:
Notebooks, die sich bei uns ins Firmennetz einwählen dürfen (mit VPN via UMTS oder DSL) besitzen eine andere Konfiguration. Die Partitionen sind komplett mit Safeguard Easy verschlüsselt und alle Komponenten, die eine potentielle Gefahr für das Netzwerk darstellen, sind mit Devicelock gesichert und werden nur für bestimmte Geräte freigegeben. Das Problem von Devicelock ist, dass diese Datenträger ebenfalls verschlüsselt sein müssen (ist so gewollt) und somit ist ein Datenaustausch auf eine unverschlüsselte Partition und umgekehrt nicht möglich. Einzige Variante ist das brennen einer CD, was aber nur der Administrator darf.
Wunsch:
Natürlich wollen die Betroffenen (Laptop mit Adminrechten) auch Dateien auf ihr Laptop laden, wenn keine Admins mehr im Hause sind. Hat jemand für solch eine Problematik eine passable Lösung? Wie habt Ihr das Problem gelöst? Ich habe mir schön öfters mit meinem Kollegen Gedanken darüber gemacht, aber wir haben keine Antwort gefunden, ohne dass wir unsere Sicherheit runterschrauben würden, was aber nicht in Frage kommt.
Danke schon mal für alle Hinweise!
Gruß
Frank
ich habe ein Problem bzgl. den Anforderungen der einzelnen Abteilungen.
Ausgangssituation:
Einige Mitarbeiter besitzen Notebooks, auf denen sie Adminrechte besitzen, die aber nicht ans Firmennetzwerk angeschlossen werden dürfen. Wenn sie Dateien am Wochenende oder auf Dienstreisen bearbeiten möchten, müssen sie zu uns Admins kommen und dann werden die Dateien via USB – Stick auf das Laptop übertragen und umgekehrt.
Es tritt aber sehr häufig die Situation ein, dass abends z. B. um 20:00 Uhr oder am Samstag noch Dateien auf dem Laptop benötigt werden und kein Admin ist verfügbar, um sie einzuspielen. Natürlich macht sich dann Unmut breit.
Momentane Variante:
Notebooks, die sich bei uns ins Firmennetz einwählen dürfen (mit VPN via UMTS oder DSL) besitzen eine andere Konfiguration. Die Partitionen sind komplett mit Safeguard Easy verschlüsselt und alle Komponenten, die eine potentielle Gefahr für das Netzwerk darstellen, sind mit Devicelock gesichert und werden nur für bestimmte Geräte freigegeben. Das Problem von Devicelock ist, dass diese Datenträger ebenfalls verschlüsselt sein müssen (ist so gewollt) und somit ist ein Datenaustausch auf eine unverschlüsselte Partition und umgekehrt nicht möglich. Einzige Variante ist das brennen einer CD, was aber nur der Administrator darf.
Wunsch:
Natürlich wollen die Betroffenen (Laptop mit Adminrechten) auch Dateien auf ihr Laptop laden, wenn keine Admins mehr im Hause sind. Hat jemand für solch eine Problematik eine passable Lösung? Wie habt Ihr das Problem gelöst? Ich habe mir schön öfters mit meinem Kollegen Gedanken darüber gemacht, aber wir haben keine Antwort gefunden, ohne dass wir unsere Sicherheit runterschrauben würden, was aber nicht in Frage kommt.
Danke schon mal für alle Hinweise!
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 37243
Url: https://administrator.de/forum/datenaustausch-zwischen-laptop-und-firmennetzwerk-erlauben-37243.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
ich weiss ja nicht um welche Daten es sich handelt die übertragen werden sollen. Aber ist
vielleicht der Einsatz einer DMZ in Verbindung mit einem VLAN möglich? Welche Server setzt ihr ein, Windows oder Linux?
Ihr könntet einen DMZ-Server laufen lassen der über WebDav bestimmte Daten zur Verfügung stellt. Es ist auch möglich das dieser die Daten wiederrum von eurem Hauptserver über WebDav abruft bzw. zur Verfügung gestellt bekommt. Es sollte auf jedenfall auf beiden Servern ein guter Virenscanner und Firewall laufen. Über das VLAN könntet ihr sicherstellen, dass diese Notebooks keinen Zugriff auf das eigentliche Firmennetz erhalten.
Ich hoffe das Dir das weiterhilft. Du weisst ja, 100%ige Sciherheit ist eine Illusion. 99% machbar.
MfG
Maggus
ich weiss ja nicht um welche Daten es sich handelt die übertragen werden sollen. Aber ist
vielleicht der Einsatz einer DMZ in Verbindung mit einem VLAN möglich? Welche Server setzt ihr ein, Windows oder Linux?
Ihr könntet einen DMZ-Server laufen lassen der über WebDav bestimmte Daten zur Verfügung stellt. Es ist auch möglich das dieser die Daten wiederrum von eurem Hauptserver über WebDav abruft bzw. zur Verfügung gestellt bekommt. Es sollte auf jedenfall auf beiden Servern ein guter Virenscanner und Firewall laufen. Über das VLAN könntet ihr sicherstellen, dass diese Notebooks keinen Zugriff auf das eigentliche Firmennetz erhalten.
Ich hoffe das Dir das weiterhilft. Du weisst ja, 100%ige Sciherheit ist eine Illusion. 99% machbar.
MfG
Maggus
wir hatten mal sowas ähnliches, allerdings nicht mit verschlüsselten Laptop-HDDs und so nem Kram
die Laptops sollten eigentlich auch nie ans Netz, aber ständiger Datenaustausch war einfach unumgänglich
also haben wir uns ein Testlaptop genommen, einen sicheren Client gebastelt und gut wars
Firefox statt IE, Virenscanner, Firewall, diverse Sicherheitseinstellungen und fertig
man kann es mit Sicherheit auch übertreiben...
andere Möglichkeit wäre, einen PC im Netzwerk mit einer 2. Netzwerkkarte auszustatten, an den die Laptops sich dann anstöpseln könnten
nur müsste ihr den PC dann auch irgendwie vor möglichen Gefahren durch die Laptops absichern
hätte aber den Vorteil, das ihr lediglich den PC sicher und sauber halten müsstest
die Laptops sollten eigentlich auch nie ans Netz, aber ständiger Datenaustausch war einfach unumgänglich
also haben wir uns ein Testlaptop genommen, einen sicheren Client gebastelt und gut wars
Firefox statt IE, Virenscanner, Firewall, diverse Sicherheitseinstellungen und fertig
man kann es mit Sicherheit auch übertreiben...
andere Möglichkeit wäre, einen PC im Netzwerk mit einer 2. Netzwerkkarte auszustatten, an den die Laptops sich dann anstöpseln könnten
nur müsste ihr den PC dann auch irgendwie vor möglichen Gefahren durch die Laptops absichern
hätte aber den Vorteil, das ihr lediglich den PC sicher und sauber halten müsstest
Citrix ist eine Erweiterung von dem Terminal Server. Dabei wird die Anwendung auf dem Citrixserver in der Firma geöffnet und nur der Bildschirminhalt wird übertragen. Du kannst genau festlegen welche Anwender welche Programme und Dateien verwenden dürfen und was damit geschehen darf. z.B. Datei öffnen ja, drucken nein. Die Datei verlässt aber das Firmennetzwerk nicht. Citrix unterstützt diverse Verschlüsselungs- und Authentifizierungsvarianten. So genug der schleich Werbung, mehr Erfährst du von deinem Computerhändler. Der hat auch eine 30 Tage Ausprobierversion für dich.
http://www.citrix.com/English/ps2/demo.asp
Dort Flash Demo: Citrix Presentation Server 4
Gruß Rafiki
http://www.citrix.com/English/ps2/demo.asp
Dort Flash Demo: Citrix Presentation Server 4
Gruß Rafiki
Hallo Frank,
ich wollte dir nicht unterstellen dass ein Terminalserver etwas Neues für dich ist. Sorry, wenn das in meinem Kommentar so klingt . Meine Idee war einfach dem Benutzer NICHT die Datei zu geben. Nach meiner Meinung wird es unmöglich sein die Kontrolle über die Datei zu behalten wenn die Datei von einem Benutzer geladen werden darf der lokale Adminrechte hat. Solltest du deine Aufgabenstellung doch noch lösen würde ich gerne davon hören.
Also gut noch ein letzter, sehr schräger, aber auch kreativer Versuch deine Hochsicherheitswelt zu retten. Ich gehe natürlich auch davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. In der VM hat Windows einen VPN Client und der Benutzer arbeitet ohne Adminrechte. In dieser virtual machine darf der Benztzer die nötigen Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich)
Vorraussetzung ist natürlich ein Laptop mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Laptop. Die VM entspricht eurem geschütztem Laptop Modell während der echte Laptop mit Adminrechten dem Benutzer auch weiterhin zur Verfügung steht.
Kann dich dieser Vorschlag überzeugen?
Gruß Rafiki
ich wollte dir nicht unterstellen dass ein Terminalserver etwas Neues für dich ist. Sorry, wenn das in meinem Kommentar so klingt . Meine Idee war einfach dem Benutzer NICHT die Datei zu geben. Nach meiner Meinung wird es unmöglich sein die Kontrolle über die Datei zu behalten wenn die Datei von einem Benutzer geladen werden darf der lokale Adminrechte hat. Solltest du deine Aufgabenstellung doch noch lösen würde ich gerne davon hören.
Also gut noch ein letzter, sehr schräger, aber auch kreativer Versuch deine Hochsicherheitswelt zu retten. Ich gehe natürlich auch davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. In der VM hat Windows einen VPN Client und der Benutzer arbeitet ohne Adminrechte. In dieser virtual machine darf der Benztzer die nötigen Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich)
Vorraussetzung ist natürlich ein Laptop mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Laptop. Die VM entspricht eurem geschütztem Laptop Modell während der echte Laptop mit Adminrechten dem Benutzer auch weiterhin zur Verfügung steht.
Kann dich dieser Vorschlag überzeugen?
Gruß Rafiki