c-webber
Goto Top

Freigaben nur für Domänen-PCs

Hi Leute,

ich stehe vor folgendem Problem:

In einer kleinen 2k3-Domäne soll der Zugriff auf Server-Freigaben nur von PCs aus möglich sein, die Domänen-Mitglied sind.

Da ich auf Freigabeebene den Zugriff nicht auf Computerkonten beschränken kann hab ich mittlerweile rausgefunden und der Switch kennt auch keine "Port-Security"-Funktion.

Weiß jemand, ob ich über die Sicherheitsrichtlinien den Zugriff von nich-Domänen-Mitgleidern unterbinden kann ?

Oder per GP ? So das nur die Maschinen Zugriff bekommen, bei denen die RL greift ?

Bin mal gespannt was euch einfällt

Content-ID: 67687

Url: https://administrator.de/forum/freigaben-nur-fuer-domaenen-pcs-67687.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

sansibarius
sansibarius 02.09.2007 um 23:42:00 Uhr
Goto Top
Warum nicht ganz normal mit Benutzerberechtigungen?
c-webber
c-webber 03.09.2007 um 00:07:09 Uhr
Goto Top
Wenn ein User sein privates Notebook mitbringt, dann kann er damit auf Datei-Freigaben zugreifen.
Er wird zwar nach Benutzernamen und Kennwort gefragt, aber das kennt er ja, er gibt dann den User und das KW ein, das er an seiner Domänen-Maschine auch benutzt und schon ist er drin.

Und genau sowas sollte nicht passieren.
Dani
Dani 03.09.2007 um 00:21:43 Uhr
Goto Top
Abend c-webber,
rausgefunden und der Switch kennt auch keine "Port-Security"-Funktion.
Tja...da wirst du wohl dann Pech haben! Da der User eine Windowskennung für euere Domäne hat. Wirst wohl die Switche austauschen müssen. Eine andere Möglichkeit sehe ich nicht!


Grüße
Dani
c-webber
c-webber 03.09.2007 um 00:34:21 Uhr
Goto Top
Hatte gerade noch eine Idee, ist zwar schon spät aber was haltet Ihr davon:

  • Schritt 1: Alle Domänen-PCs mit statischen DHCP-Leases ausstatten

  • Schritt 2: Auf dem Server eine Software-Firewall einsetzen um alle IPs im lokalen Subnetz ausser den Bekannten zu sperren
AlithAnar99
AlithAnar99 03.09.2007 um 00:35:26 Uhr
Goto Top
Naja etwas umständlich:

Du richtest den DNS Server für ein anderes Subnetz ein. Den Pcs bei euch gibst du dann feste IP Adressen (am bestern per statischer IP) und entziehst den Benutzer per GPO das Recht die Eingabeaufforderung auszuführen und lässte Sie nur unter Hauptbenutzerrechte arbeiten. So haben Sie keinen Einblick in die IP Adressen, bekommen wenn Sie sich einbinden wollen falsche Adressen zugestellt die nicht auf euer Netzwerk zeigen.

Gab es beim DHCP Server nicht auch irgendwas mit Gruppen? Und du kannst den Gruppen dann berechtigungen verpassen. Muss mal in meinem dicken Grünen nachgucken, kann aber 1 -2 Tage dauern.

Alternativ (einfacher ;) ) baust du alle nicht belegten Patchdosen zurück, sprich du schliesst nicht belegte Patchdosen nicht am Switch an. Dann besteht aber immer noch die Gefahr, das der User das Netzwerkkabel aus dem Arbeitspc ziehen und anschliessen.

Ich weis ja nicht was da bei euch verbotenes Lagert das du keinen zugriff auf Freigaben geben willst, aber in Zeiten von einer USB-Stickgroösse von 4 GB oder 2,5" Wechselplatten, musst du dann auch auf den Arbeitspcs das anstecken von USB Geräten abschalten.

Thomas
c-webber
c-webber 03.09.2007 um 00:43:29 Uhr
Goto Top
So haben Sie keinen Einblick in die
IP Adressen

Sie könnten immernoch das Status-Fenster der Netzwerkverbindung öffnen, da steht die IP auch drin. Aber vom Prinzip her ist die Idee mit nem DHCP (meintest du bestimmt) im falschen Netz ganz nett.

Das mit den Patchdosen hilft nicht viel, der eine oder andere kommt bestimmt auf die Idee das Kabel von seinem PC zu benutzen

Ich weis ja nicht was da bei euch verbotenes
Lagert das du keinen zugriff auf Freigaben
geben willst, aber in Zeiten von einer
USB-Stickgroösse von 4 GB oder 2,5"
Wechselplatten, musst du dann auch auf den
Arbeitspcs das anstecken von USB Geräten
abschalten.

Es geht dabei um eine Arztpraxis, also um Patientendaten!

Alle Domänen-PCs haben DriveLock installeirt, ein Tool das sämtliche Schnittstelle überwachen und blockieren kann. Da funktioniert kein USB, FireWire, Kartenleser, Brenner...usw mehr.
Deshalb sollen "Fremd-PCs" ja keinen Zugriff bekommen. Und das muss zuverlässig funktionieren.
Dani
Dani 03.09.2007 um 00:44:18 Uhr
Goto Top
Die Frage ist doch: Von wie vielen Clients reden wir denn??

Alle Domänen-PCs mit statischen DHCP-Leases ausstatten
Sobald der User die Daten von seinem Arbeitsplatz weiß, trägt er diese bei seinem Notebook ein und gut ist.

Auf dem Server eine Software-Firewall einsetzen um alle IPs im lokalen Subnetz ausser den
Bekannten zu sperren
Somit ist diese Maßnahme für die Katz (siehe oben).

Du richtest den DNS Server für ein anderes Subnetz ein.
Den Spaß kannst du aber bei > 50 Clients vergessen. Denn somit musst du immer, wenn ein Client n defekt an der Netzwerkkarte oder aber ausgetauscht, ein Neuer kommt alles anpssen => kostet viel Zeit!

Dann besteht aber immer noch die Gefahr, das der User das Netzwerkkabel aus dem
Arbeitspc ziehen und anschliessen.
Richtig...bringt auch nichts!


Grüße
Dani
Dani
Dani 03.09.2007 um 00:50:18 Uhr
Goto Top
Sie könnten immernoch das Status-Fenster der Netzwerkverbindung öffnen, da steht die IP
auch drin. Aber vom Prinzip her ist die Idee mit nem DHCP (meintest du bestimmt) im falschen > Netz ganz nett
Wiederspricht sich so...wenn er die Daten weiß, ist der DHCP Fake außen vor, oder??

Wie ist denn dein Netzwerk aufgebaut (vllt. ne kl. Zeichung samt allen Geräten - Server, Clients, Router, Switche, etc..). Somit finden wir vllt. noch eine andere Möglichkeit.

Kannst du uns bitte noch den Namen von Switche, Router nennen?. Vllt. haben die ein kl. hilfreiches Feature.


Grüße
Dani
AlithAnar99
AlithAnar99 03.09.2007 um 00:52:36 Uhr
Goto Top
Jepp Sorry vertippt.

Meinte natürlich den DHCP Server.
Wie ist den die Anwendung installiert?
Werden die Patientendaten den nicht auf einem zentralen Server gespeichert? Dann sollte der PC doch nur ein Frontend besitzen. und die Freigabegeschichte nicht notwendig sein.

Ansonsten würde ich mir mal das Patientenverwaltungsprogramm überdenken.

Was mir gerade noch einfällt:
Wenn du den Usern nur ändern und Schreibrechte, aber keine Leserechte für die Freigabe gibst, reicht das nicht aus?

Gute Nacht, ich denk schon wieder wirres Zeug ;)
c-webber
c-webber 03.09.2007 um 00:59:30 Uhr
Goto Top
Es geht dabei um ca 25 Clients.

Stimmt Du hast recht, er muss nur die IP seines Arbeits-PC ins Notebook eintragen uns alles ist für die Füße...

Aber es muss doch irgendwie möglich sein, einem existierenden User den Zugriff auf Freigaben zu verweigern, solange dieser sich nicht an einem Domänen-PC befindet.

Es darf übrigens auch was kosten, solange es nicht gerade der ISA-Server ist, der ist doch etwas teuer. Also falls evtl jemand Software kennt, die diese Aufgabe erfüllt, bitte posten oder per PM an mich, müssen ja kein Werbung machen ;)
c-webber
c-webber 03.09.2007 um 01:25:05 Uhr
Goto Top
Ich versuch mich mal an ner Skizze


|---D-Link - Switch --- Drayteck Vigor 2200 Router --- Inet
|
|---2k3 Std. File-Server
|---2k3 SBS Domain-Controller
|---IP-Cams
|---Restliche Clients

Den genauen Typ des Switches muss ich Heute Abend nachliefern.
Ich hab aber gerade nen IP-Scanner laufen lassen und den Switch nicht gefunden,
evtl antwortet er nicht auf pings, oder er ist gar nicht managebar.

Zum Verwaltungsprogramm:

Die Datenbanken liegen auf dem Fileserver, jeder Client startet das Anwendungsprogramm, das auch auf dem Server abgelegt ist. Auf dem Client gibt es lediglich eine Verknüpfung zu der .exe auf dem Server. Das heißt, die User brauchen in jedem Fall "Lesen" und "Ändern" - Rechte.

Das Programm wechseln ist auch nicht ohne. So ein Patientenverwaltungsprogramm ist relativ teuer, die kleinsten Ausführungen (5 Clients) fangen im 5-Stelligen an.. face-sad
dagh-pac
dagh-pac 03.09.2007 um 08:13:21 Uhr
Goto Top
Ich hab das über feste IP´s und RL geregelt.
Die Thematik ist mir nicht unbekannt und es gibt da mächtige Tools, welche auch gut geld kosten.
Hardwaredevicemanagemant in der domäne ist wichtig, allerdings wenn der client kein mitglied ist wüsst ich auch nicht weiter.
Merken wirst du es wenn es zu spät ist, dann kann der admin ja mal wenigstens in den leases schauen wer es war face-smile (wennn DHCP verfügbar)

Schon mal nach nem tool gesucht waas den Ordnerzugriff kontrolliert oder managed? muss ja nicht die Freigabe sein die gesteuert wird.
n.o.b.o.d.y
n.o.b.o.d.y 03.09.2007 um 08:13:45 Uhr
Goto Top
Hallo,

es gibt ja noch die Möglichkeit im AD den User bei der Anmledung auf gestimmte PC einzuschränken (Anmleden anface-smile Da bin ich mir aber nicht sicher, ob das auch zieht, wenn man ein Netz-LW mouten will.

Ansonsten könntest DU uns vielleicht verraten, was Du _genau_ mit dieser Aktion erreichen möchtest. Der Schutz der Pat.-Daten kann es alleine nicht sein, denn die Mitarbeiten kommen sich ja an den PCs anmelden und so in die Patientenakte schauen. Willst Du Datentransfer verbieten, dann mußt Du auch die "legalen" PCs abdichten (USB usw.)
Geht es darum "einfach nur" private PCs oder Laptops aus dem Netz fern zuhalten, würde ich dort keine großen technischen Verrenkungen anstellen, sondern das über eine Dienstanweisung des Arbeitgebers machen, wo eindeutig drinnnsteht, dass es verboten ist solche Geräte ins Netz zu hängen. Mit der eindeutigen Ansage, dass das ein Abmahnungsgrund ist!
Das geht vor jedem Arbeitsgericht druch, zumal ihr ja auch noch sensieble Pat.-Daten habt.

Ralf
c-webber
c-webber 04.09.2007 um 00:26:15 Uhr
Goto Top
Also, der Switch ist ein D-Link DGS-1224T, aber leider ohne Port-Security.

Was ich "genau" erreichen will:

Die Daten sollen die Praxis nicht verlassen, zumindest nicht in digitaler Form.
Dazu ist auf allen Domänen-PCs ein Tool installiert, das sämtliche Datenträger, Wechsellaufwerke, USB-Geräte, Speicherkarten... bis hin zu PCI-Geräten überwacht.
Damit ist es nicht möglich seinen USB-Stick o.ä. anzustecken und die Daten zu kopieren.

Das allerdings ein Behandler in einer Gemeinschaftspraxis sein Notebook mitbringen und es anschließen, und dann noch ungehindert auf alle Daten zugreifen kann führt mein ganzes Sicherheitskonzept ad absurdum.

Die Idee mit dem Anmelden an... klingt vielversprechend, hab ich gar nicht dran gedacht.
Werd ich morgen gleich testen, klingt so einfach wie genial :D
c-webber
c-webber 29.09.2007 um 05:10:04 Uhr
Goto Top
Ich greife das Thema nochmal auf,

die "Anmelden an..." - Geschichte klang erst ganz nett, aber ist genau der falsche Weg.
Was ich bräuchte wäre eine "Anmelden von..."-Option im AD.

Jetzt bin ich auf die Idee gekommen, mit Zertifikaten zu arbeiten.
Ich stelle mir das so vor, daß ich auf allen Praxis-PCs ein Zertifikat installiere, das für den Netzwerkzugriff benötigt wird.

Allerdings fürchte ich jetzt schon, daß ich dann Probleme bekomme die IP-Cams ins Netz zu bringen.

Falls jemand Erfahrung mit Netzwerk-Zertifikaten hat, wäre ich für 1-2 Tipps wirklich dankbar.

so long...
Dani
Dani 29.09.2007 um 09:53:03 Uhr
Goto Top
Moin!
die "Anmelden an..." - Geschichte klang erst ganz nett, aber ist genau der falsche Weg.
Hm... warum?? Ansonsten schau dir mal das Thema Radius an...


Grüße
Dani
c-webber
c-webber 01.10.2007 um 00:53:28 Uhr
Goto Top
Radius wäre eine Alternative, aber ich glaub das wäre mit Kanonen auf Spatzen geschossen, oder ?

Kann ich mir nicht einfach selbst ein Zertifikat erstellen und auf den Rechnern verteilen, die auf den Server zugreifen dürfen ?
Wäre völlig ausreichend, da die User ja eh nix von den PCs runterkopieren können.
Dani
Dani 01.10.2007 um 12:15:57 Uhr
Goto Top
Moin!
Kann ich mir nicht einfach selbst ein Zertifikat erstellen und auf den Rechnern verteilen, die
auf den Server zugreifen dürfen ?
Ist für uns keine Option...weil wir mit Zertifikaten etc... schon schlechte Erfahrungen gemacht haben.
Außerdem, jede Sicherheit hat seinen Preis. So ein Radius ist für ein kl. Netz ziemlich schnell eingerichtet.


Grüße
Dani
c-webber
c-webber 02.10.2007 um 11:07:42 Uhr
Goto Top
Ist für uns keine Option...weil wir mit
Zertifikaten etc... schon schlechte
Erfahrungen gemacht haben.

Welche schlechten Erfahrungen habt ihr denn gemacht, weshalb das keine Option für euch ist ?
Wo liegen die Grenzen ?

Es geht hier wie gesagt um <25 Clients !

Gruß, Chirs
Dani
Dani 02.10.2007 um 12:39:35 Uhr
Goto Top
Hi Chris?!,
Welche schlechten Erfahrungen habt ihr denn gemacht,
Naja..manche Zertifikate waren einfach nicht mehr von einem auf den anderen Tag gültig. Bis du dann überhaupt weißt, dass es am Zertifikat liegt verging viel Zeit.

weshalb das keine Option für euch ist ?
Das Ganze musst du ja an jedem Client manuell (gehts heute schon automatisch?) einrichten. Das war uns zu stressig. Die Anzahl der Clients war auch ein bisschen größer (100 - 200).


Grüße
Dani
c-webber
c-webber 02.10.2007 um 12:49:59 Uhr
Goto Top
Alles klar, Danke.

Ich werde mir das ganze nochmal durch den Kopf gehen lassen und mit Chefe besprechen.
Werde dann weiter berichten
Eggsbeerde
Eggsbeerde 07.10.2007 um 18:17:25 Uhr
Goto Top
Hallo c-webber,


hoffe dein Problem hat sich mittlerweile erledigt. Falls nicht, versuch mal IPSec-Richtlinien zu definieren. D.h. jeder Client muss vor jeder Verbindungsaufnahme mit dem Server die eingestellte Sicherheit aushandeln. Das geht mit sowohl mit Zertifikaten, aber auch mit der einfachsten Variante, einen zuvor fest definierten Schlüssel auf dem Client und den Server zu hinterlegen.
Ich glaube diese Verfahrensweise könnte dein Problem lösen. Allerdings kostet IPSec ein
Haufen CPUZeit, aber wenn deine Maschinen das mitmachen, warum nicht.

Ansonsten fällt mir jetzt auch nur noch PortSecurity auf VLAN-fähgen Switches ein. So wahnsinnig
teuer sind die heutzutage auch nicht mehr.

Nun dann ... hoffe damit geholfen zu haben.
Viele Grüsse
Joerg
c-webber
c-webber 12.10.2007 um 12:46:23 Uhr
Goto Top
Jawoll,

genau nach so einer einfachen Lösung habe ich gesucht.
Werde die IPSec-Variante bei nächster Gelegenheit mal testen.
Wenn genug Rechenpower vorhanden ist werde ich das auch so realisieren.

Will ja schließlich kein Komplettpaket, die Domänen-PCs sind ja schon dicht gemacht worden.
Das einzige Problem das ich hatte war ja, daß sich ein nicht-Domänen-PC unter verwendung eines AD-User-Acc am Server anmelden konnte.

Das sollte somit nicht mehr möglich sein.

Danke an alle für die rege Beteiligung, ich geb nen Kaffee aus - Ihr wisst ja wo er steht face-smile