Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Homeoffice für jedermann

Mitglied: Peterz

Peterz (Level 1) - Jetzt verbinden

05.03.2020 um 07:51 Uhr, 1766 Aufrufe, 34 Kommentare, 2 Danke

Hallo zusammen,
im Zeitalter von Emotet und andere Ransomware kommt unsere Geschäftsführung auf die Idee, allen Mitarbeitern das Homeoffice zu vereinfachen. Im schwebt vor, dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann. Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.

Wie könnte so etwas ganz grob aussehen?

Ist so was mit Microsoft Boardmitteln umzusetzen? Stichwort Netzwerkrichtlinienserver und Quarantänenetzwerk.
Wäre sowas mit einer Citrix Umgebung darzustellen?

Gibt es überhaupt jemanden der jemanden kennt, der so etwas für seine Mitarbeiter zur Verfügung stellt?

Danke für euren Input.
34 Antworten
Mitglied: Archeon
05.03.2020 um 07:59 Uhr
Hallo,

also von privaten Geräten aus halte ich das auch für eher fragwürdig, aber prinzipiell ist VPN + Terminalserver die vermutlich einfachste Lösung, das hängt ja auch immer ein wenig von der Anzahl der Mitarbeiter und natürlich auch der für die Arbeit benötigten Software ab.

Gruß
Bitte warten ..
Mitglied: killtec
05.03.2020 um 08:01 Uhr
HI,
wie @Archeon schon sagt, VPN und Terminalserver.
das VPN machst du über deine Firewall. Da kannst du auch entsprechende Regeln anlegen, dass die User z.B. nur auf die Terminalserver kommen.

Wie du schon bemerkt hast, von Privaten Rechnern ist das eher Kontraproduktiv...

Gruß
Bitte warten ..
Mitglied: DerWoWusste
05.03.2020, aktualisiert um 08:16 Uhr
Moin.

Ein gangbarer Weg wäre, das Privatgerät mit einem Bootstick zu starten, so dass die evtl. auf dem Heimgerät installerte Malware außen vor bleibt.
Hierbei wird ein Mini-Linux gebootet, das ein VPN zur Firma aufbaut und eine RDP-Verbindung ermöglicht.

So einen Ansatz verkauft Ecos - wohlgemerkt in 3 Varianten, die eine davon sogar BSI-zugelassen für Bearbeitung von Verschlusssachen.
https://www.ecos.de/produkte/zugangskomponenten/secure-boot-stick-sx/
Bitte warten ..
Mitglied: StefanKittel
05.03.2020 um 08:17 Uhr
Hallo,

ein Kunde von mir hat seinen MAs Fujitsu G558 mit Monitoren und Drucker mitgegeben.
Die sind recht günstig.

Alternativ (gebrauchte) Thin-Clients.

Stefan
Bitte warten ..
Mitglied: Luci0815
05.03.2020 um 08:21 Uhr
Welcher 08/15-MA weiß denn, wie man von einem Stick startet oder einen VPN-Client installiert. Letztendlich wird man Geräte (Laptops) mitgeben müssen oder es läuft auf SSL-VPN hinaus.
Bitte warten ..
Mitglied: monstermania
05.03.2020, aktualisiert um 08:55 Uhr
Moin,
wir nutzen seit vielen Jahren Citrix für den Zugriff der Mitarbeiter. Dabei ist es prinzipiell vollkommen egal, ob der MA sein privates Gerät oder ein firmeneigenes Gerät verwendet. Es muss halt die richtige/unterstütze Version der Citrix WS App auf dem genutzten Endgerät vorhanden sein.
Damit haben wir auch sehr gute Erfahrungen gemacht. Das charmante ist halt, dass abgesehen von der Citrix App keine VPN-Software auf den Endgeräten vorhanden sein muss und das quasi jedes OS unterstützt wird.
Mit der Einrichtung von VPN wäre das Gros der Mitarbeiter vollkommen überfordert. Die Installation der Citrix WS App bekommen die grad noch so hin. Aber ist halt nicht billig!

Gruß
Dirk
Bitte warten ..
Mitglied: athi1234
05.03.2020 um 08:34 Uhr
Für solche Konstrukte sind schon immer Terminalserver mit Microsoft RDS, Citrix oder Parallels RAS die erste Wahl.
Bitte warten ..
Mitglied: Office365.Wolke
05.03.2020 um 08:51 Uhr
Hallo Peterz

Ich sehe Citrix auch als einzige gangbare Option.
Ob man dies nur per VPN erreichbar macht, würde ich in Frage stellen ...
Lieber über ein Netscaler direkt aus dem Interneg zugreifen lassen.
Muss natürlich nicht zwingend Citrix sein, kann auch jeder andere Service für Terminalsessions sein.

Citrix ist schließlich nicht das günstige Produkt
Bitte warten ..
Mitglied: Visucius
05.03.2020 um 09:44 Uhr
... und die Sticks lassen sich prima im Büro vorbereiten und erst bei Bedarf aushändigen.
Bitte warten ..
Mitglied: SlainteMhath
05.03.2020 um 09:57 Uhr
Moin,.

Wäre sowas mit einer Citrix Umgebung darzustellen?
Ja mit Citrix ist das problemlos und sicher möglich. Einen ADC an die WAN Grenze, idealerweise mit MFA, und eine(n) XenApp Server/Farm als "Backend". Das Ganze auf VMWare und du hast eine bombenstabile Plattform für die Anwender, egal von wo aus sie sich anmelden - und das (falls der Browser HTML5 kann) sogar ohne Softwareinstallatin am Client.

lg,
Slainte
Bitte warten ..
Mitglied: Peterz
05.03.2020 um 09:59 Uhr
Vielen Dank schon mal für die vielen guten Anmerkungen.
Da ja oft Citrix genannt wurde, könnte jemand vielleicht eine Hausnummer an Kosten für ca. 100 Zugänge nennen.
Reden wir über 10.000€ oder 25.000€. Oder vielleicht noch mehr?
Bitte warten ..
Mitglied: Bitboy
05.03.2020 um 10:12 Uhr
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Bitte warten ..
Mitglied: Ganzjahresgriller
05.03.2020 um 11:11 Uhr
Bei so einem Volumen würde ich mich von einem Systemhaus beraten lassen. Da gibt es so viele Frage die zu klären sind wie z. B. Ausfallsicherheit und Redunanz um nur einen Punkt zu nennen. Da kann man nicht mal schnell einen Preis in die Runde werfen.
Bitte warten ..
Mitglied: DerWoWusste
05.03.2020 um 11:15 Uhr
Du brauchst kein Citrix. RDP ist mittlerweile auch in seiner Normalform so schnell, dass man über Internet wunderbar damit arbeiten kann.
Bitte warten ..
Mitglied: monstermania
05.03.2020 um 11:16 Uhr
Zitat von Bitboy:
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Weil man dann auch extrem spontan mal einen Homeoffice-Tag einglegen kann, ohne immer sein Notebook mitschleppen zu müssen.
Dank VoIP-Mobilapp kann ich von zu Hause aus mit meiner Firmennummer telefonieren.
Klaro, bei BYOD muss die Firma die Sicherheit vorgeben und dafür geradestehen. Wir haben auch Mitarbeiter die kürzlich noch mit Windows XP arbeiten wollten! Das funktioniert dann natürlich nicht. Ähnliches wird es jetzt mit Windows 7 geben.
Bitte warten ..
Mitglied: brammer
05.03.2020 um 11:33 Uhr
Hallo,

nicht ganz das was du anfragst ... aber passt gerade zum Thema... Homeoffice in Zeiten von Corona

brammer
Bitte warten ..
Mitglied: Peterz
05.03.2020 um 13:08 Uhr
Zitat von DerWoWusste:

Du brauchst kein Citrix. RDP ist mittlerweile auch in seiner Normalform so schnell, dass man über Internet wunderbar damit arbeiten kann.

Bloß wie willst du so eine Zugriff absichern? Man braucht doch einen Gegenstelle, wie bei Citrix den Netscaler.
Bitte warten ..
Mitglied: Luci0815
05.03.2020 um 13:12 Uhr
RDS-Gateway...
Bitte warten ..
Mitglied: DerWoWusste
05.03.2020 um 13:37 Uhr
Bloß wie willst du so eine Zugriff absichern?
Ja hast Du meinen ersten Kommentar nicht gelesen? Ecos. Sicher und kostentechnisch vertretbar. Setzen wir ein, braucht keine große Mitarbeiterschulung.
Bitte warten ..
Mitglied: Peterz
05.03.2020 um 14:26 Uhr
Zitat von Luci0815:

RDS-Gateway...
Danke, das schaue ich mal an.


Zitat von DerWoWusste:
Ja hast Du meinen ersten Kommentar nicht gelesen? Ecos. Sicher und kostentechnisch vertretbar. Setzen wir ein, braucht keine große Mitarbeiterschulung.
Und die Mitarbeiter kommen Zuhause mit dem Booten über einen USB-Stick zurecht?
Herauszufinden, welche F-Taste zum BIOS Bootmenü gehört und diese auch noch im richtigen Moment zu drücken ist für normale Anwender nicht zu kompliziert?
Bitte warten ..
Mitglied: Luci0815
05.03.2020 um 14:28 Uhr
Mit Linux-Sticks bekommst du eventuell ein Lizenzproblem, wenn z.B. Office auf dem Terminalserver benutzt werden soll.
Bitte warten ..
Mitglied: DerWoWusste
05.03.2020, aktualisiert um 14:55 Uhr
Und die Mitarbeiter kommen Zuhause mit dem Booten über einen USB-Stick zurecht?
Ja. die F-Tasten haben wir tatsächlich als Liste vorliegen für gängige Modelle.

Mit Linux-Sticks bekommst du eventuell ein Lizenzproblem, wenn z.B. Office auf dem Terminalserver benutzt werden soll.
Nein. Für die Office-Lizenzierung spielt der RDP-Client und dessen unterliegendes OS keine Rolle. Auf einem Terminalserver hat man Office per VL zu lizenzieren und das ebenso oft, wie Benutzer auf dem TS rumlaufen. Woher die kommen, ist egal.
(korrigiert, siehe unten)
Bitte warten ..
Mitglied: Luci0815
05.03.2020, aktualisiert um 14:48 Uhr
Bei Office (2016, 2019 VOL) wird der Client (=Computerlizenz) lizensiert und nicht der RDS! Sobald man Office auf einem RDS nutzt, muss es auch 1:1 auf dem Client sein. Anders sieht es eventuell bei Office 365 User-Lizenzen aus.
Bitte warten ..
Mitglied: DerWoWusste
05.03.2020 um 14:53 Uhr
Bei Office (2016, 2019 VOL) wird der Client (=Computerlizenz) lizensiert und nicht der RDS!
Du hast Recht, es geht ja tatsächlich um Clients, nicht um User!

Ich komme hier gar nicht in Verlegenheit, da sich unsere Nutzer mit Ecos nicht auf einen Server, sondern per RDP auf Ihre eigenen PCs verbinden, auf denen Office installiert ist.
Bitte warten ..
Mitglied: Luci0815
05.03.2020 um 15:04 Uhr
Ja, ob das erlaubt ist... weiß ich nicht. Bei Microsoft ist alles möglich und alles ist kompliziert... ich empfehle ein Lizenzaudit durch einen Experten (welche auch nicht leicht zu finden sind). Beispiel: Office Prof deckt Office Standard nicht ab (in dem Szenario Client+RDS), obwohl höherwertiger.
Bitte warten ..
Mitglied: DerWoWusste
05.03.2020 um 15:08 Uhr
Ja, ob das erlaubt ist... weiß ich nicht
Du darfst Deinen eigenen PC (als "Hauptnutzer") von Remote bedienen - das ist erlaubt laut EULA.
Bitte warten ..
Mitglied: Dilbert-MD
05.03.2020 um 16:21 Uhr
Zitat von Peterz:
[...] dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann.

Hallo,

ich würd' den Mitarbeitern einen konfigurierten Mini-PC / Net Top o.ä. mit vorinstalliertem VPN-Client mit geben und ein KVM-Switch so dass der MA seine eigene Tastatur, Maus und den Monitor nutzen kann, nach Feierabend dann seinen eigenen PC, ohne umbauen zu müssen

Ggf. auch einen Laptop, aber keine Nutzung privater Hardware, außer wenn die Daten offline bearbeitet werden und per E-Mail wieder in die Firma geschickt werden - sofern das möglich ist.

Zu bedenken ist auch, dass ja einige Mitarbeiter in schlecht erschlossenen Gebieten wohnen können, wo von den 16 MBit/s nur 6 oder weniger ankommen. Dann lässt sich online auch nicht effektiv arbeiten. Hier käme dann der Laptop wieder zum Einsatz, wenn der Mitarbeiter eine Möglchkeit hat, den Arbeitsort nach außerhalb des HomeOffice zu verlegen.
Bitte warten ..
Mitglied: DerWoWusste
05.03.2020 um 16:33 Uhr
Zu bedenken ist auch, dass ja einige Mitarbeiter in schlecht erschlossenen Gebieten wohnen können, wo von den 16 MBit/s nur 6 oder weniger ankommen. Dann lässt sich online auch nicht effektiv arbeiten.
Es kommt darauf an - wenn Du RDP nutzt, sind 6 MBit/s schon mehr als genug. Ich bin mir sicher, dass weniger als 1 MBit/s schon reicht, um normale Arbeiten wie Office zu erledigen. Ja, wir haben damit Erfahrung und haben das nachgemessen.
Bitte warten ..
Mitglied: aqui
05.03.2020, aktualisiert um 18:39 Uhr
Wie könnte so etwas ganz grob aussehen?
Mit Bordmitteln: Firewall, VPN und fertig ist der Lack. Guckst du hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
RDP natürlich nicht zu vergessen wie oben schon gesagt
Mit einer Citrix Lösung (teurer) ginge das auch ohne VPN da Citrix Terminal Server SSL verschlüsselt sind.
Bitte warten ..
Mitglied: wuebra
05.03.2020 um 21:21 Uhr
Also wir haben für über 200 User Terminalserver mit Office 365 E5.

Das wird pro User lizenziert und ist somit bei rds sauber. Hatte erst 2019 ein problemloses LizenzAudit von MS.

Dann entweder Klassisch OpenVPN+RDP, oder eine UTM mit HTML5 Portal oder ab Server 2019 das rds Gateway mit HTML 5 Client welcher mit SSL läuft. Fertig
Bitte warten ..
Mitglied: ASP.NET.Core
06.03.2020, aktualisiert um 18:06 Uhr
Zitat von Peterz:
Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.
...
Wäre sowas mit einer Citrix Umgebung darzustellen?

Wenn du darüber ernsthaft nachdenkst, scheint dir das nicht nur "erst mal" egal zu sein:

https://www.theregister.co.uk/2020/02/05/cisco_cdpwn_flaws/
https://srcincite.io/blog/2020/01/14/busting-ciscos-beans-hardcoding-you ...
https://www.cisco.com/c/en/us/support/docs/field-notices/704/fn70489.htm ...
https://www.heise.de/-4322363
https://www.heise.de/-4208546
https://webexec.org/
https://www.heise.de/-4184517

Und das ist nur, was ich grade auf die schnelle finde. Da gibts noch mehr. Sicherheit und Citrix passt so gut zusammen wie Microsoft und günstig ;)
Bitte warten ..
Mitglied: Dani
06.03.2020 um 22:53 Uhr
Moin,
Reden wir über 10.000€ oder 25.000€. Oder vielleicht noch mehr?
das lässt sich schwer sagen. Das hängt davon ab, was du
a) an Hardware schon hast und noch kaufen musst
b) an Microsoft Lizenzen du noch kaufen musst
c) an Know How im Haus oder über IT-Dienstleister einkaufen musst
d) 2 Faktor Authentifizierung haben möchtest
e) Firewall/WAF mit entsprechend IDS/IPS hast
f) eine breitbandige und stabile Internetleitung hast.

Je nachdem kannst du ganz schnell auch bei 50.000,00€ sein.

@Bitboy
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Die meisten wollen keinen 2. Rechner oder ein Notebook haben, weil es Platz wegnimmt und bei Problemen in die Firma geschleppt werden muss. Wir haben einige Kollegen, die einen Zeroclient zu Hause haben. Der Rest nutzt ihre privaten Geräte.

Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Was sollte schief gehen?


Gruß,
Dani
Bitte warten ..
Mitglied: Luci0815
08.03.2020 um 15:16 Uhr
Zitat von DerWoWusste:

Ja, ob das erlaubt ist... weiß ich nicht
Du darfst Deinen eigenen PC (als "Hauptnutzer") von Remote bedienen - das ist erlaubt laut EULA.

Beinhaltet das auch das VOL-Office? Selbe Konstellation... egal. Wo kriegt man die ECOS-Sticks? Bzw. wie teuer sind die? Finde irgendwie nix...
Bitte warten ..
Mitglied: DerWoWusste
08.03.2020 um 16:43 Uhr
Du darfst deinen wWindows-PC fernsteuern, egal welche Software du laufen lässt.
Auf der Website von Ecos kannst du Teststicks kostenlos bekommen.

Preise für BSI zugelassene Sticks liegen bei ca 500€, wobei die noch ein Backend (Genuscreen) benötigen, was deutlich mehr kostet. Sicherheit hat ihnen Preis, zugelassene erst recht.
Bitte warten ..
Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 1 TagSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Anleitung von FA-jka vor 1 TagDNS6 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...