Eurer VPN-Lösung von zuhause in die Firma
Moin zusammen,
wie geht ihr in der Firma mit der folgenden Situation um :
- zu viele Mitarbeiter & zu wenig Notebooks
In einer Firma muss zur Zeit gewährleistet werden, dass im Falle einer Auslagerung ins HomeOffice alle Kollegen über eine passende technische Infrastur verfügen, sodass ein Arbeiten von zuhause möglich ist.
Welche Möglichkeiten bietet ihr an?
1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist
2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?
- Was haltet ihr von der Möglichkeit, dass die Kollegen die private Hardware nutzen und nur über den RDP-Port auf den Rechner in der Firma gelangen?
- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?
Ich bin gespannt auf eure Vorschläge und bereits eingesetzten Methoden
Gruß
Sascha
wie geht ihr in der Firma mit der folgenden Situation um :
- zu viele Mitarbeiter & zu wenig Notebooks
In einer Firma muss zur Zeit gewährleistet werden, dass im Falle einer Auslagerung ins HomeOffice alle Kollegen über eine passende technische Infrastur verfügen, sodass ein Arbeiten von zuhause möglich ist.
Welche Möglichkeiten bietet ihr an?
1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist
2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?
- Was haltet ihr von der Möglichkeit, dass die Kollegen die private Hardware nutzen und nur über den RDP-Port auf den Rechner in der Firma gelangen?
- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?
Ich bin gespannt auf eure Vorschläge und bereits eingesetzten Methoden
Gruß
Sascha
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1540390471
Url: https://administrator.de/contentid/1540390471
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo Sascha,
Genau aus diesem Grund haben wir bei uns Citrix Desktops eingeführt. Die Anwender bekommen auf ihrem Privatgerät die Citrix App installiert und vom lokalen Client werden maximal Mikro, Kamera als aktive Geräte durchgeschleift alles andere ist verboten. Ansich sind wir mit der Lösung halbwegs zufrieden. Wir werden jetzt aber auf eine andere Lösung umschwenken und zwar die Kombination aus VPN und Microsoft Terminalserver. Das VpN kommt per 2Faktor Authentifizierung auf die Privatclients und dann ist per VPN nur der Zugriff per HTTPS auf den Microsoft Terminal Server WebAccess. Somit ist gewährleistet das sie mit dem Privatgerät auf die Ressourcen der Firma kommen.
Die User die das Privatgerät nicht nutzen können und wollen werden Notebooks verteilt aber das ist die Ausnahme.
Grüße
Niklas
Genau aus diesem Grund haben wir bei uns Citrix Desktops eingeführt. Die Anwender bekommen auf ihrem Privatgerät die Citrix App installiert und vom lokalen Client werden maximal Mikro, Kamera als aktive Geräte durchgeschleift alles andere ist verboten. Ansich sind wir mit der Lösung halbwegs zufrieden. Wir werden jetzt aber auf eine andere Lösung umschwenken und zwar die Kombination aus VPN und Microsoft Terminalserver. Das VpN kommt per 2Faktor Authentifizierung auf die Privatclients und dann ist per VPN nur der Zugriff per HTTPS auf den Microsoft Terminal Server WebAccess. Somit ist gewährleistet das sie mit dem Privatgerät auf die Ressourcen der Firma kommen.
Die User die das Privatgerät nicht nutzen können und wollen werden Notebooks verteilt aber das ist die Ausnahme.
Grüße
Niklas
Zitat von @SeaStorm:
Bei uns auch Citrix.
Wer kein Notebook hat und den privaten Rechner nutzt, der kann sich per Citrix HTML5 Receiver bzw per Workspace App auf einen Terminalserver einloggen.
Citrix hat Azure MFA zur Authentifizierung, von daher ist das mit der Security auch geregelt.
Bei uns auch Citrix.
Wer kein Notebook hat und den privaten Rechner nutzt, der kann sich per Citrix HTML5 Receiver bzw per Workspace App auf einen Terminalserver einloggen.
Citrix hat Azure MFA zur Authentifizierung, von daher ist das mit der Security auch geregelt.
Hier fast ähnlich, nur dass wir keine 2MFA von Azure nutzen, sondern von Gemalto.
Als Bindeglied greift der Citrix NetScaler...
Läuft hier und alles sind zufrieden, weil es einfach ist.
"Rufe citrix.contoso.tld auf"
"Melde dich mit dem Token vom Handy an"
"Arbeite"
Gruß
em-pie
Also über die Firewall kannst du schonmal ne ganze Menge aus dem Netz raus halten. SMB/CIFS solltest du auf jeden Fall mit privaten Geräten unterbinden, eigentlich alles und nur RDP auf machen. Außerdem das mounten von Speicher in der Terminal Sitzung und die Zwischenablage deaktivieren.
Verstehe ich das richtig das sich jeder Mitarbeiter auf einen eigenen Fat Client in der Firma aufschaltet? Ideal wäre das nicht, besser ein Terminal Server. Es muss ja nicht gleich Citrix sein, das bietet aber natürlich noch das ein oder andere Sicherheitsfeature.
Verstehe ich das richtig das sich jeder Mitarbeiter auf einen eigenen Fat Client in der Firma aufschaltet? Ideal wäre das nicht, besser ein Terminal Server. Es muss ja nicht gleich Citrix sein, das bietet aber natürlich noch das ein oder andere Sicherheitsfeature.
Teilweise 2) mittels Ecos SBS
https://www.ecos.de/produkte/secure-boot-stick/secure-boot-stick-sx
Geringe Restrisiken.
https://www.ecos.de/produkte/secure-boot-stick/secure-boot-stick-sx
Geringe Restrisiken.
Moin,
Wir kaufen mehr Notebooks. Die Coronabooks haben dafür eine eigene Kostenstelle bekommen.
Mein (noch) Arbeitgeber ist da der Meinung, dass das Aufgabe des Arbeitgebers ist, wie es ja auch im Gesetz steht. Damit gebe ich keine allgemeingültige Rechtsauskunft, sondern nur die Meinung meines Arbeitgebers wieder. Bloß keine Debatte darüber.
Ja.
Das ist sogar laut IT-Richtlinien verboten. Privatgeräte dürfen nicht für dienstliche Zwecke benutzt werden. Wer was braucht, der kriegt es auch.
Technisch gibt es da sicherlich gute Lösungen ob mit RDP oder mit Citrix. Eigentlich egal. Aber ich halte auch aus technischer Sicht nichts davon. Das muss nämlich auch supportet werden. Und wie will ich ein Gerät supporten, bei dem der Admin ein Laie ist? Was ich in den letzten zwei Jahren an privaten DSL-Problemen supporten musste, weil die Leut nicht arbeiten konnten, war schon schlimm genug. Ich sag nur: Privatkundenhotlinehölle! "Bitte legen Sie nicht auf! Wir sind gleich für Sie da!" Seltsame Vorstellung von "gleich".
Auf Firmengeräten habe ich eine wohldefinierte Umgebung, an der der User nichts ändern kann. Privatnutzung ist verboten. Damit ist alles, was sonst noch aus guten und nicht moralischen Gründen verboten ist, auch gleich vom Tisch. Wer's doch macht und erwischt wird, riskiert seinen Job. Der Supportaufwand für das Home-Office ist m. E. sowieso schon hoch genug. Da kann ich keine Rechner gebrauchen, auf denen alle Nas' lang Spiele installiert und deinstalliert werden. Der nie neu gestartet wird, weil der User den "Ruhezustand" entdeckt hat, auf dem alle Nas' lang irgendeine Social Media App installiert wird usw. usf.
Und dann bleibt da immer noch das gar nicht so erhebliche Risiko eines Durchbruchs. Das ist doch so schwer nicht. Wenn sich der Mitarbeiter (wenn ich so darüber nachdenke, waren es bis auf einmal alles Männer, mit denen es Vorfälle gab ...), der ja schließlich Admin-Rechte auf seinem PC hat. Ist ja seiner. Kann ich ihm nicht verbieten. Wenn sich also dieser Mitarbeiter einen Trojaner einfängt oder ihn sogar gezielt untergejubelt bekommt, der sich in Tastatur, Kamera und Bildschirm hooked, dann ist der Durchbruch auf die Firmendaten komplett. Gelingt es mir, auf die Schnittstellen direkt zuzugreifen, dann sind alle Verschlüsselungen ausgehebelt. Wenn ich das jetzt weiter ausführe, verstoße ich, glaube ich, gegen die Forumsregeln.
Das wären meine Gründe, warum ich langfristig immer daraufhin arbeiten würde, dass alle die Ausstattung bekommen, die sie brauchen. Und so teuer ist das nun auch nicht. Mittlerweile bekommt man schon wieder ganz ordentliche Notebooks für unter 500€ netto. Mir wurde gerade eins angeboten für 478€. Reicht für VPN und RDP. Dann noch einen schicken Monitor für ca. 150€, Maus und Tastatur auch nochmal 50€ (das kann mit Ergo-Maus mal auch ein wenig mehr sein). Insgesamt 700€. Abgeschrieben auf 5 Jahre macht das schlappe 140€/MA/a. Nicht gerade viel dafür, dass ich Rechner habe, die unter meiner vollen Kontrolle stehen.
my 2 cents
Zitat von @Sasu22:
wie geht ihr in der Firma mit der folgenden Situation um :
- zu viele Mitarbeiter & zu wenig Notebooks
wie geht ihr in der Firma mit der folgenden Situation um :
- zu viele Mitarbeiter & zu wenig Notebooks
Wir kaufen mehr Notebooks. Die Coronabooks haben dafür eine eigene Kostenstelle bekommen.
In einer Firma muss zur Zeit gewährleistet werden, dass im Falle einer Auslagerung ins HomeOffice alle Kollegen über eine passende technische Infrastur verfügen, sodass ein Arbeiten von zuhause möglich ist.
Mein (noch) Arbeitgeber ist da der Meinung, dass das Aufgabe des Arbeitgebers ist, wie es ja auch im Gesetz steht. Damit gebe ich keine allgemeingültige Rechtsauskunft, sondern nur die Meinung meines Arbeitgebers wieder. Bloß keine Debatte darüber.
Welche Möglichkeiten bietet ihr an?
1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist
1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist
Ja.
2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?
Das ist sogar laut IT-Richtlinien verboten. Privatgeräte dürfen nicht für dienstliche Zwecke benutzt werden. Wer was braucht, der kriegt es auch.
- Was haltet ihr von der Möglichkeit, dass die Kollegen die private Hardware nutzen und nur über den RDP-Port auf den Rechner in der Firma gelangen?
- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?
- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?
Technisch gibt es da sicherlich gute Lösungen ob mit RDP oder mit Citrix. Eigentlich egal. Aber ich halte auch aus technischer Sicht nichts davon. Das muss nämlich auch supportet werden. Und wie will ich ein Gerät supporten, bei dem der Admin ein Laie ist? Was ich in den letzten zwei Jahren an privaten DSL-Problemen supporten musste, weil die Leut nicht arbeiten konnten, war schon schlimm genug. Ich sag nur: Privatkundenhotlinehölle! "Bitte legen Sie nicht auf! Wir sind gleich für Sie da!" Seltsame Vorstellung von "gleich".
Auf Firmengeräten habe ich eine wohldefinierte Umgebung, an der der User nichts ändern kann. Privatnutzung ist verboten. Damit ist alles, was sonst noch aus guten und nicht moralischen Gründen verboten ist, auch gleich vom Tisch. Wer's doch macht und erwischt wird, riskiert seinen Job. Der Supportaufwand für das Home-Office ist m. E. sowieso schon hoch genug. Da kann ich keine Rechner gebrauchen, auf denen alle Nas' lang Spiele installiert und deinstalliert werden. Der nie neu gestartet wird, weil der User den "Ruhezustand" entdeckt hat, auf dem alle Nas' lang irgendeine Social Media App installiert wird usw. usf.
Und dann bleibt da immer noch das gar nicht so erhebliche Risiko eines Durchbruchs. Das ist doch so schwer nicht. Wenn sich der Mitarbeiter (wenn ich so darüber nachdenke, waren es bis auf einmal alles Männer, mit denen es Vorfälle gab ...), der ja schließlich Admin-Rechte auf seinem PC hat. Ist ja seiner. Kann ich ihm nicht verbieten. Wenn sich also dieser Mitarbeiter einen Trojaner einfängt oder ihn sogar gezielt untergejubelt bekommt, der sich in Tastatur, Kamera und Bildschirm hooked, dann ist der Durchbruch auf die Firmendaten komplett. Gelingt es mir, auf die Schnittstellen direkt zuzugreifen, dann sind alle Verschlüsselungen ausgehebelt. Wenn ich das jetzt weiter ausführe, verstoße ich, glaube ich, gegen die Forumsregeln.
Das wären meine Gründe, warum ich langfristig immer daraufhin arbeiten würde, dass alle die Ausstattung bekommen, die sie brauchen. Und so teuer ist das nun auch nicht. Mittlerweile bekommt man schon wieder ganz ordentliche Notebooks für unter 500€ netto. Mir wurde gerade eins angeboten für 478€. Reicht für VPN und RDP. Dann noch einen schicken Monitor für ca. 150€, Maus und Tastatur auch nochmal 50€ (das kann mit Ergo-Maus mal auch ein wenig mehr sein). Insgesamt 700€. Abgeschrieben auf 5 Jahre macht das schlappe 140€/MA/a. Nicht gerade viel dafür, dass ich Rechner habe, die unter meiner vollen Kontrolle stehen.
my 2 cents
Moin,
b) Wir haben 90% der IT-Arbeitsplätze in einer VDI. Somit kann der Zugriff von zu Hause via Browser (HTML5) oder bei schmallbandigen Anschlüssen via Software Client in Kombination mit OTP Hardware Token eine Verbindung hergestellt werden. Über DriveLock stellen wir sicher, dass nur autorisierte Geräte in die Sitzung weitergereicht werden.
Gerade letzte Option kommt sehr oft zum Einsatz. So dass keine weitere Hardware zu Hause steht. Kommt bei vielen Leuten sehr gut an. Ansonsten gibt's eben ein Thicnlient mit TFT mit nach Hause. Spätestens dann überlegen es sich viele zwei Mal.
Gruß,
Dani
Welche Möglichkeiten bietet ihr an?
a) Kollegen, welche ein dienstliches Notebook haben, können diese mitnehmen. Sobald eine Internetverbindung besteht, erfolgt ein automatischer VPN-Verbindungsaufbau zum Firmennetz.b) Wir haben 90% der IT-Arbeitsplätze in einer VDI. Somit kann der Zugriff von zu Hause via Browser (HTML5) oder bei schmallbandigen Anschlüssen via Software Client in Kombination mit OTP Hardware Token eine Verbindung hergestellt werden. Über DriveLock stellen wir sicher, dass nur autorisierte Geräte in die Sitzung weitergereicht werden.
Gerade letzte Option kommt sehr oft zum Einsatz. So dass keine weitere Hardware zu Hause steht. Kommt bei vielen Leuten sehr gut an. Ansonsten gibt's eben ein Thicnlient mit TFT mit nach Hause. Spätestens dann überlegen es sich viele zwei Mal.
Gruß,
Dani
hi
Die MA bekommen Thinclient mit IGEL OS mit nach Hause, sofern sie kein Firmen Notebook besitzen.
1) Alle Kollegen haben Notebook und somit auch sicherer Hardware, womit eine VPN Verbindung ins Firmennetzwerk ohne Probleme möglich ist
2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?
Zugriff nur auf eine VDI via Client oder Browser2) Die Kollegen nutzen private Hardware, aber wie stellt ihr sicher, dass keine Viren ins Firmennetzwerk gelangen?
- Was haltet ihr von der Möglichkeit, dass die Kollegen die private Hardware nutzen und nur über den RDP-Port auf den Rechner in der Firma gelangen?
wenn du den RDP Port direkt aufmachst, kannst du darauf warten, dass ihr euch etwas einfangt.- Eine Lösung mit Citrix oder einer anderen virtuellen Umgebung?
Wir nutzen VMware Horizon mit 2FA für externen Zugriff und Intern in der Produktion RDS Server. Diese kann man aber auch über den RDS Gateway Server veröffentlichen. Mittlerweile auch als HTML5 ApplikationDie MA bekommen Thinclient mit IGEL OS mit nach Hause, sofern sie kein Firmen Notebook besitzen.