34
Homeoffice für jedermann
Hallo zusammen,
im Zeitalter von Emotet und andere Ransomware kommt unsere Geschäftsführung auf die Idee, allen Mitarbeitern das Homeoffice zu vereinfachen. Im schwebt vor, dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann. Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.
Wie könnte so etwas ganz grob aussehen?
Ist so was mit Microsoft Boardmitteln umzusetzen? Stichwort Netzwerkrichtlinienserver und Quarantänenetzwerk.
Wäre sowas mit einer Citrix Umgebung darzustellen?
Gibt es überhaupt jemanden der jemanden kennt, der so etwas für seine Mitarbeiter zur Verfügung stellt?
Danke für euren Input.
im Zeitalter von Emotet und andere Ransomware kommt unsere Geschäftsführung auf die Idee, allen Mitarbeitern das Homeoffice zu vereinfachen. Im schwebt vor, dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann. Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.
Wie könnte so etwas ganz grob aussehen?
Ist so was mit Microsoft Boardmitteln umzusetzen? Stichwort Netzwerkrichtlinienserver und Quarantänenetzwerk.
Wäre sowas mit einer Citrix Umgebung darzustellen?
Gibt es überhaupt jemanden der jemanden kennt, der so etwas für seine Mitarbeiter zur Verfügung stellt?
Danke für euren Input.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 554528
Url: https://administrator.de/contentid/554528
Printed on: April 19, 2024 at 11:04 o'clock
34 Comments
Latest comment
Hallo,
also von privaten Geräten aus halte ich das auch für eher fragwürdig, aber prinzipiell ist VPN + Terminalserver die vermutlich einfachste Lösung, das hängt ja auch immer ein wenig von der Anzahl der Mitarbeiter und natürlich auch der für die Arbeit benötigten Software ab.
Gruß
also von privaten Geräten aus halte ich das auch für eher fragwürdig, aber prinzipiell ist VPN + Terminalserver die vermutlich einfachste Lösung, das hängt ja auch immer ein wenig von der Anzahl der Mitarbeiter und natürlich auch der für die Arbeit benötigten Software ab.
Gruß
HI,
wie @Archeon schon sagt, VPN und Terminalserver.
das VPN machst du über deine Firewall. Da kannst du auch entsprechende Regeln anlegen, dass die User z.B. nur auf die Terminalserver kommen.
Wie du schon bemerkt hast, von Privaten Rechnern ist das eher Kontraproduktiv...
Gruß
wie @Archeon schon sagt, VPN und Terminalserver.
das VPN machst du über deine Firewall. Da kannst du auch entsprechende Regeln anlegen, dass die User z.B. nur auf die Terminalserver kommen.
Wie du schon bemerkt hast, von Privaten Rechnern ist das eher Kontraproduktiv...
Gruß
Moin.
Ein gangbarer Weg wäre, das Privatgerät mit einem Bootstick zu starten, so dass die evtl. auf dem Heimgerät installerte Malware außen vor bleibt.
Hierbei wird ein Mini-Linux gebootet, das ein VPN zur Firma aufbaut und eine RDP-Verbindung ermöglicht.
So einen Ansatz verkauft Ecos - wohlgemerkt in 3 Varianten, die eine davon sogar BSI-zugelassen für Bearbeitung von Verschlusssachen.
https://www.ecos.de/produkte/zugangskomponenten/secure-boot-stick-sx/
Ein gangbarer Weg wäre, das Privatgerät mit einem Bootstick zu starten, so dass die evtl. auf dem Heimgerät installerte Malware außen vor bleibt.
Hierbei wird ein Mini-Linux gebootet, das ein VPN zur Firma aufbaut und eine RDP-Verbindung ermöglicht.
So einen Ansatz verkauft Ecos - wohlgemerkt in 3 Varianten, die eine davon sogar BSI-zugelassen für Bearbeitung von Verschlusssachen.
https://www.ecos.de/produkte/zugangskomponenten/secure-boot-stick-sx/
Hallo,
ein Kunde von mir hat seinen MAs Fujitsu G558 mit Monitoren und Drucker mitgegeben.
Die sind recht günstig.
Alternativ (gebrauchte) Thin-Clients.
Stefan
ein Kunde von mir hat seinen MAs Fujitsu G558 mit Monitoren und Drucker mitgegeben.
Die sind recht günstig.
Alternativ (gebrauchte) Thin-Clients.
Stefan
Welcher 08/15-MA weiß denn, wie man von einem Stick startet oder einen VPN-Client installiert. Letztendlich wird man Geräte (Laptops) mitgeben müssen oder es läuft auf SSL-VPN hinaus.
Moin,
wir nutzen seit vielen Jahren Citrix für den Zugriff der Mitarbeiter. Dabei ist es prinzipiell vollkommen egal, ob der MA sein privates Gerät oder ein firmeneigenes Gerät verwendet. Es muss halt die richtige/unterstütze Version der Citrix WS App auf dem genutzten Endgerät vorhanden sein.
Damit haben wir auch sehr gute Erfahrungen gemacht. Das charmante ist halt, dass abgesehen von der Citrix App keine VPN-Software auf den Endgeräten vorhanden sein muss und das quasi jedes OS unterstützt wird.
Mit der Einrichtung von VPN wäre das Gros der Mitarbeiter vollkommen überfordert. Die Installation der Citrix WS App bekommen die grad noch so hin. Aber ist halt nicht billig!
Gruß
Dirk
wir nutzen seit vielen Jahren Citrix für den Zugriff der Mitarbeiter. Dabei ist es prinzipiell vollkommen egal, ob der MA sein privates Gerät oder ein firmeneigenes Gerät verwendet. Es muss halt die richtige/unterstütze Version der Citrix WS App auf dem genutzten Endgerät vorhanden sein.
Damit haben wir auch sehr gute Erfahrungen gemacht. Das charmante ist halt, dass abgesehen von der Citrix App keine VPN-Software auf den Endgeräten vorhanden sein muss und das quasi jedes OS unterstützt wird.
Mit der Einrichtung von VPN wäre das Gros der Mitarbeiter vollkommen überfordert. Die Installation der Citrix WS App bekommen die grad noch so hin. Aber ist halt nicht billig!
Gruß
Dirk
Für solche Konstrukte sind schon immer Terminalserver mit Microsoft RDS, Citrix oder Parallels RAS die erste Wahl.
Hallo Peterz
Ich sehe Citrix auch als einzige gangbare Option.
Ob man dies nur per VPN erreichbar macht, würde ich in Frage stellen ...
Lieber über ein Netscaler direkt aus dem Interneg zugreifen lassen.
Muss natürlich nicht zwingend Citrix sein, kann auch jeder andere Service für Terminalsessions sein.
Citrix ist schließlich nicht das günstige Produkt
Ich sehe Citrix auch als einzige gangbare Option.
Ob man dies nur per VPN erreichbar macht, würde ich in Frage stellen ...
Lieber über ein Netscaler direkt aus dem Interneg zugreifen lassen.
Muss natürlich nicht zwingend Citrix sein, kann auch jeder andere Service für Terminalsessions sein.
Citrix ist schließlich nicht das günstige Produkt
... und die Sticks lassen sich prima im Büro vorbereiten und erst bei Bedarf aushändigen.
Moin,.
lg,
Slainte
Wäre sowas mit einer Citrix Umgebung darzustellen?
Ja mit Citrix ist das problemlos und sicher möglich. Einen ADC an die WAN Grenze, idealerweise mit MFA, und eine(n) XenApp Server/Farm als "Backend". Das Ganze auf VMWare und du hast eine bombenstabile Plattform für die Anwender, egal von wo aus sie sich anmelden - und das (falls der Browser HTML5 kann) sogar ohne Softwareinstallatin am Client.lg,
Slainte
Vielen Dank schon mal für die vielen guten Anmerkungen.
Da ja oft Citrix genannt wurde, könnte jemand vielleicht eine Hausnummer an Kosten für ca. 100 Zugänge nennen.
Reden wir über 10.000€ oder 25.000€. Oder vielleicht noch mehr?
Da ja oft Citrix genannt wurde, könnte jemand vielleicht eine Hausnummer an Kosten für ca. 100 Zugänge nennen.
Reden wir über 10.000€ oder 25.000€. Oder vielleicht noch mehr?
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Bei so einem Volumen würde ich mich von einem Systemhaus beraten lassen. Da gibt es so viele Frage die zu klären sind wie z. B. Ausfallsicherheit und Redunanz um nur einen Punkt zu nennen. Da kann man nicht mal schnell einen Preis in die Runde werfen.
Du brauchst kein Citrix. RDP ist mittlerweile auch in seiner Normalform so schnell, dass man über Internet wunderbar damit arbeiten kann.
1Zitat von @Bitboy:
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Weil man dann auch extrem spontan mal einen Homeoffice-Tag einglegen kann, ohne immer sein Notebook mitschleppen zu müssen.Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Dank VoIP-Mobilapp kann ich von zu Hause aus mit meiner Firmennummer telefonieren.
Klaro, bei BYOD muss die Firma die Sicherheit vorgeben und dafür geradestehen. Wir haben auch Mitarbeiter die kürzlich noch mit Windows XP arbeiten wollten! Das funktioniert dann natürlich nicht. Ähnliches wird es jetzt mit Windows 7 geben.
Hallo,
nicht ganz das was du anfragst ... aber passt gerade zum Thema... Homeoffice in Zeiten von Corona
brammer
nicht ganz das was du anfragst ... aber passt gerade zum Thema... Homeoffice in Zeiten von Corona
brammer
Zitat von @DerWoWusste:
Du brauchst kein Citrix. RDP ist mittlerweile auch in seiner Normalform so schnell, dass man über Internet wunderbar damit arbeiten kann.
Du brauchst kein Citrix. RDP ist mittlerweile auch in seiner Normalform so schnell, dass man über Internet wunderbar damit arbeiten kann.
Bloß wie willst du so eine Zugriff absichern? Man braucht doch einen Gegenstelle, wie bei Citrix den Netscaler.
RDS-Gateway...
Bloß wie willst du so eine Zugriff absichern?
Ja hast Du meinen ersten Kommentar nicht gelesen? Ecos. Sicher und kostentechnisch vertretbar. Setzen wir ein, braucht keine große Mitarbeiterschulung.
Danke, das schaue ich mal an.
Herauszufinden, welche F-Taste zum BIOS Bootmenü gehört und diese auch noch im richtigen Moment zu drücken ist für normale Anwender nicht zu kompliziert?
Zitat von @DerWoWusste:
Ja hast Du meinen ersten Kommentar nicht gelesen? Ecos. Sicher und kostentechnisch vertretbar. Setzen wir ein, braucht keine große Mitarbeiterschulung.
Und die Mitarbeiter kommen Zuhause mit dem Booten über einen USB-Stick zurecht?Ja hast Du meinen ersten Kommentar nicht gelesen? Ecos. Sicher und kostentechnisch vertretbar. Setzen wir ein, braucht keine große Mitarbeiterschulung.
Herauszufinden, welche F-Taste zum BIOS Bootmenü gehört und diese auch noch im richtigen Moment zu drücken ist für normale Anwender nicht zu kompliziert?
Mit Linux-Sticks bekommst du eventuell ein Lizenzproblem, wenn z.B. Office auf dem Terminalserver benutzt werden soll.
Und die Mitarbeiter kommen Zuhause mit dem Booten über einen USB-Stick zurecht?
Ja. die F-Tasten haben wir tatsächlich als Liste vorliegen für gängige Modelle.Mit Linux-Sticks bekommst du eventuell ein Lizenzproblem, wenn z.B. Office auf dem Terminalserver benutzt werden soll.
(korrigiert, siehe unten)
Bei Office (2016, 2019 VOL) wird der Client (=Computerlizenz) lizensiert und nicht der RDS! Sobald man Office auf einem RDS nutzt, muss es auch 1:1 auf dem Client sein. Anders sieht es eventuell bei Office 365 User-Lizenzen aus.
Bei Office (2016, 2019 VOL) wird der Client (=Computerlizenz) lizensiert und nicht der RDS!
Du hast Recht, es geht ja tatsächlich um Clients, nicht um User!Ich komme hier gar nicht in Verlegenheit, da sich unsere Nutzer mit Ecos nicht auf einen Server, sondern per RDP auf Ihre eigenen PCs verbinden, auf denen Office installiert ist.
Ja, ob das erlaubt ist... weiß ich nicht. Bei Microsoft ist alles möglich und alles ist kompliziert... ich empfehle ein Lizenzaudit durch einen Experten (welche auch nicht leicht zu finden sind). Beispiel: Office Prof deckt Office Standard nicht ab (in dem Szenario Client+RDS), obwohl höherwertiger.
Ja, ob das erlaubt ist... weiß ich nicht
Du darfst Deinen eigenen PC (als "Hauptnutzer") von Remote bedienen - das ist erlaubt laut EULA.
Zitat von @Peterz:
[...] dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann.
[...] dass sich jeder Mitarbeiter von seinem privaten PC in das Firmennetz einloggen kann.
Hallo,
ich würd' den Mitarbeitern einen konfigurierten Mini-PC / Net Top o.ä. mit vorinstalliertem VPN-Client mit geben und ein KVM-Switch so dass der MA seine eigene Tastatur, Maus und den Monitor nutzen kann, nach Feierabend dann seinen eigenen PC, ohne umbauen zu müssen
Ggf. auch einen Laptop, aber keine Nutzung privater Hardware, außer wenn die Daten offline bearbeitet werden und per E-Mail wieder in die Firma geschickt werden - sofern das möglich ist.
Zu bedenken ist auch, dass ja einige Mitarbeiter in schlecht erschlossenen Gebieten wohnen können, wo von den 16 MBit/s nur 6 oder weniger ankommen. Dann lässt sich online auch nicht effektiv arbeiten. Hier käme dann der Laptop wieder zum Einsatz, wenn der Mitarbeiter eine Möglchkeit hat, den Arbeitsort nach außerhalb des HomeOffice zu verlegen.
Zu bedenken ist auch, dass ja einige Mitarbeiter in schlecht erschlossenen Gebieten wohnen können, wo von den 16 MBit/s nur 6 oder weniger ankommen. Dann lässt sich online auch nicht effektiv arbeiten.
Es kommt darauf an - wenn Du RDP nutzt, sind 6 MBit/s schon mehr als genug. Ich bin mir sicher, dass weniger als 1 MBit/s schon reicht, um normale Arbeiten wie Office zu erledigen. Ja, wir haben damit Erfahrung und haben das nachgemessen.1
Wie könnte so etwas ganz grob aussehen?
Mit Bordmitteln: Firewall, VPN und fertig ist der Lack. Guckst du hier:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
RDP natürlich nicht zu vergessen wie oben schon gesagt
Mit einer Citrix Lösung (teurer) ginge das auch ohne VPN da Citrix Terminal Server SSL verschlüsselt sind.
Also wir haben für über 200 User Terminalserver mit Office 365 E5.
Das wird pro User lizenziert und ist somit bei rds sauber. Hatte erst 2019 ein problemloses LizenzAudit von MS.
Dann entweder Klassisch OpenVPN+RDP, oder eine UTM mit HTML5 Portal oder ab Server 2019 das rds Gateway mit HTML 5 Client welcher mit SSL läuft. Fertig
Das wird pro User lizenziert und ist somit bei rds sauber. Hatte erst 2019 ein problemloses LizenzAudit von MS.
Dann entweder Klassisch OpenVPN+RDP, oder eine UTM mit HTML5 Portal oder ab Server 2019 das rds Gateway mit HTML 5 Client welcher mit SSL läuft. Fertig
Zitat von @Peterz:
Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.
...
Wäre sowas mit einer Citrix Umgebung darzustellen?
Das dass völlig am Thema Sicherheit vorbei geht ist im erstmal egal.
...
Wäre sowas mit einer Citrix Umgebung darzustellen?
Wenn du darüber ernsthaft nachdenkst, scheint dir das nicht nur "erst mal" egal zu sein:
https://www.theregister.co.uk/2020/02/05/cisco_cdpwn_flaws/
https://srcincite.io/blog/2020/01/14/busting-ciscos-beans-hardcoding-you ...
https://www.cisco.com/c/en/us/support/docs/field-notices/704/fn70489.htm ...
https://www.heise.de/-4322363
https://www.heise.de/-4208546
https://webexec.org/
https://www.heise.de/-4184517
Und das ist nur, was ich grade auf die schnelle finde. Da gibts noch mehr. Sicherheit und Citrix passt so gut zusammen wie Microsoft und günstig ;)
Moin,
a) an Hardware schon hast und noch kaufen musst
b) an Microsoft Lizenzen du noch kaufen musst
c) an Know How im Haus oder über IT-Dienstleister einkaufen musst
d) 2 Faktor Authentifizierung haben möchtest
e) Firewall/WAF mit entsprechend IDS/IPS hast
f) eine breitbandige und stabile Internetleitung hast.
Je nachdem kannst du ganz schnell auch bei 50.000,00€ sein.
@Bitboy
Gruß,
Dani
Reden wir über 10.000€ oder 25.000€. Oder vielleicht noch mehr?
das lässt sich schwer sagen. Das hängt davon ab, was dua) an Hardware schon hast und noch kaufen musst
b) an Microsoft Lizenzen du noch kaufen musst
c) an Know How im Haus oder über IT-Dienstleister einkaufen musst
d) 2 Faktor Authentifizierung haben möchtest
e) Firewall/WAF mit entsprechend IDS/IPS hast
f) eine breitbandige und stabile Internetleitung hast.
Je nachdem kannst du ganz schnell auch bei 50.000,00€ sein.
@Bitboy
Mir stellt sich neben der Sicherheit auch die Frage warum die MA ihre private Hardware fürs Unternehmen zur Verfügung stellen sollten...
Die meisten wollen keinen 2. Rechner oder ein Notebook haben, weil es Platz wegnimmt und bei Problemen in die Firma geschleppt werden muss. Wir haben einige Kollegen, die einen Zeroclient zu Hause haben. Der Rest nutzt ihre privaten Geräte. Wie siehts mit der Verantwortlichkeit aus wenn doch etwas schief geht?
Was sollte schief gehen?Gruß,
Dani
Zitat von @DerWoWusste:
Ja, ob das erlaubt ist... weiß ich nicht
Du darfst Deinen eigenen PC (als "Hauptnutzer") von Remote bedienen - das ist erlaubt laut EULA.Beinhaltet das auch das VOL-Office? Selbe Konstellation... egal. Wo kriegt man die ECOS-Sticks? Bzw. wie teuer sind die? Finde irgendwie nix...
Du darfst deinen wWindows-PC fernsteuern, egal welche Software du laufen lässt.
Auf der Website von Ecos kannst du Teststicks kostenlos bekommen.
Preise für BSI zugelassene Sticks liegen bei ca 500€, wobei die noch ein Backend (Genuscreen) benötigen, was deutlich mehr kostet. Sicherheit hat ihnen Preis, zugelassene erst recht.
Auf der Website von Ecos kannst du Teststicks kostenlos bekommen.
Preise für BSI zugelassene Sticks liegen bei ca 500€, wobei die noch ein Backend (Genuscreen) benötigen, was deutlich mehr kostet. Sicherheit hat ihnen Preis, zugelassene erst recht.
