6741
Nov 30, 2004, updated at Mar 21, 2009 (UTC)
6835
6
0
Fremde Clients im Netz
Hallo,
folgendes Problem.
Wie kann man verhindern, dass sich fremde Mitarbeiter in das Netzwerk verbinden?
Die Domäne ist für sich, aber ich sehe Gäste die sich einfach anklemmen und mit einem lokalen Administrator im eigenden Netz eine Gefahr sind.
So könnte der lokale admin einen Ordner für den Gast freigeben und schon habe ich den Virus im Netzwerk.
Da es genügen Anschlüsse gibt und an jedem Tisch ein Swisch, sind die Ports etwas schwierig zu überwachen.
Es dürfe sich keine "fremd Domäne" im Netz anmelden können.
Welche Vorschläge hab Ihr um diese Problem zu sichern.
folgendes Problem.
Wie kann man verhindern, dass sich fremde Mitarbeiter in das Netzwerk verbinden?
Die Domäne ist für sich, aber ich sehe Gäste die sich einfach anklemmen und mit einem lokalen Administrator im eigenden Netz eine Gefahr sind.
So könnte der lokale admin einen Ordner für den Gast freigeben und schon habe ich den Virus im Netzwerk.
Da es genügen Anschlüsse gibt und an jedem Tisch ein Swisch, sind die Ports etwas schwierig zu überwachen.
Es dürfe sich keine "fremd Domäne" im Netz anmelden können.
Welche Vorschläge hab Ihr um diese Problem zu sichern.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4094
Url: https://administrator.de/contentid/4094
Printed on: April 24, 2024 at 11:04 o'clock
6 Comments
Latest comment
Hallo!
Ist zwar etwas klug dumm, aber verhindere doch einfach, dass sich andere an Ihren Rechnern als Admin lokal anmelden. Ändere z. B. das Admin-Passwort.
Eine andere Möglichkeit sehe ich nicht wirklich, weil wo fängst du da an und wo hörst du auf. Genau genommen könnte ja auch jemand das Netzwerkkabel an dem Arbeitsrechner entfernen und zwei PC mittels Direktverbindung verbinden. Da kannst du dann im Netzwerk Blockaden einbauen soviele du willst. Einzig wirkungsvoll ist dann nur zu verhindern, dass sich der Benutzer lokal als Admin anmeldet. Also Passwort ändern und am besten noch den Admin-Account umbenennen.
Gruß
Meto
Ist zwar etwas klug dumm, aber verhindere doch einfach, dass sich andere an Ihren Rechnern als Admin lokal anmelden. Ändere z. B. das Admin-Passwort.
Eine andere Möglichkeit sehe ich nicht wirklich, weil wo fängst du da an und wo hörst du auf. Genau genommen könnte ja auch jemand das Netzwerkkabel an dem Arbeitsrechner entfernen und zwei PC mittels Direktverbindung verbinden. Da kannst du dann im Netzwerk Blockaden einbauen soviele du willst. Einzig wirkungsvoll ist dann nur zu verhindern, dass sich der Benutzer lokal als Admin anmeldet. Also Passwort ändern und am besten noch den Admin-Account umbenennen.
Gruß
Meto
Der lokale Admin eines fremden PC's hat in einer Domäne keine Rechte!!! Er kann keinen PC zur Domäne hinzufügen und auch nicht auf Daten auf freigegebenen Laufwerken zugreifen, ohne das Domänenadminpasswort ... auch keine Software oder Viren einschleppen, da er vom DC als Domänencomputer abgelehnt wird.
Wie sicher Du die Adminpasswörter natürlich verwahrst, ist Deine Sache, ich jedenfalls habe meine Passwörter noch nie geschrieben gesehen ...
Gruß
Atti
Wie sicher Du die Adminpasswörter natürlich verwahrst, ist Deine Sache, ich jedenfalls habe meine Passwörter noch nie geschrieben gesehen ...
Gruß
Atti
Also,
ein Notebook User, mit lokalen admin Rechten, legt einen User an. Dieser Fremd User verbindet sich mit dem Netz ( DHCP ) also bekommt er auch eine IP und ist im Segment.
Da sich der Fremd User nicht in der Domöne anmelden kann, weil er ja nicht zugehörig ist, meldet er sich mit dem erstellen User des Notebook besitzer über sein Notebook, auf dessen Notebook.
Und ist im NETZ !!!!
Also muss man verhindern, dass andere User, die nicht in der Domäne sind, sich am Netz anmelden können. Kabeltechnisch geht es nicht, weil es genug Möglichkeiten gibt dies zu umgehen.
Hoffe es war jetzt verständlich!
ein Notebook User, mit lokalen admin Rechten, legt einen User an. Dieser Fremd User verbindet sich mit dem Netz ( DHCP ) also bekommt er auch eine IP und ist im Segment.
Da sich der Fremd User nicht in der Domöne anmelden kann, weil er ja nicht zugehörig ist, meldet er sich mit dem erstellen User des Notebook besitzer über sein Notebook, auf dessen Notebook.
Und ist im NETZ !!!!
Also muss man verhindern, dass andere User, die nicht in der Domäne sind, sich am Netz anmelden können. Kabeltechnisch geht es nicht, weil es genug Möglichkeiten gibt dies zu umgehen.
Hoffe es war jetzt verständlich!
Das Problem haben wir bei uns auch. Leider machst das jede Menge Arbeit.
Man kann kann andere Rechner daran hindern in einer Domäne das Fremdnetz zu benutzen.
Ein Weg wäre auf MAC-Adressebene und zwar am Management des Switch.
Effektivere Wege gibt es kaum. Kommt aber drauf an wie gross das Netz ist.
Probleme kriegt man dann, wenn man "mal eben" einen Rechner ans Netz bringen will.
Das heisst dann erst mal rein ins Management des Switches und dann PC aufstellen.
MFG
Binroot
Man kann kann andere Rechner daran hindern in einer Domäne das Fremdnetz zu benutzen.
Ein Weg wäre auf MAC-Adressebene und zwar am Management des Switch.
Effektivere Wege gibt es kaum. Kommt aber drauf an wie gross das Netz ist.
Probleme kriegt man dann, wenn man "mal eben" einen Rechner ans Netz bringen will.
Das heisst dann erst mal rein ins Management des Switches und dann PC aufstellen.
MFG
Binroot
DHCP abschalten, falls es die Switche hergeben "Port Security" einschalten.
ich denke eine lösbare Sache, ist die Kontrolle über MAC-Access.
