13
IIS Webseite schützen.
Hallo und guten Morgen,
Ich habe ein CMS Systems mit einem Web-Interface. Dieses System ist, wenn man die URL kennt, natürlich von überall auf der Welt erreichbar.
Da ich die Sorge habe das EX Mitarbeiter die Passwörter von aktiven Mitarbeitern haben und so an unsere Daten kommen suche ich nach einer Möglichkeit dies zu verhindern.
Also gesucht ist:
Eine Möglichkeit die Zugriffe auf die Webseite zu erlauben und in späterer Folge wieder unmöglich zu machen.
Derzeit arbeiten Zirka 30 Personen mit dem System die alle für mich erreichbar sind. (Für den Fall von einer Installation oder was auch immer).
Auf dem Server lauft das BS: Server 2003 SP2
hat hier einer eine gute Idee? Ich will meine Ideen (die ich nicht optimal finde) jetzt erstmal nicht posten um keine Richtung festzulegen.
Freu mich auf eure Antworten,
glg, Patrick
Ich habe ein CMS Systems mit einem Web-Interface. Dieses System ist, wenn man die URL kennt, natürlich von überall auf der Welt erreichbar.
Da ich die Sorge habe das EX Mitarbeiter die Passwörter von aktiven Mitarbeitern haben und so an unsere Daten kommen suche ich nach einer Möglichkeit dies zu verhindern.
Also gesucht ist:
Eine Möglichkeit die Zugriffe auf die Webseite zu erlauben und in späterer Folge wieder unmöglich zu machen.
Derzeit arbeiten Zirka 30 Personen mit dem System die alle für mich erreichbar sind. (Für den Fall von einer Installation oder was auch immer).
Auf dem Server lauft das BS: Server 2003 SP2
hat hier einer eine gute Idee? Ich will meine Ideen (die ich nicht optimal finde) jetzt erstmal nicht posten um keine Richtung festzulegen.
Freu mich auf eure Antworten,
glg, Patrick
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 141416
Url: https://administrator.de/forum/iis-webseite-schuetzen-141416.html
Ausgedruckt am: 11.01.2025 um 04:01 Uhr
13 Kommentare
Neuester Kommentar
Moin,
klar hab ich ne Idee - aber die will ich nicht posten damit auch ich keine Richtung festlege...
Ansonsten hab ich aber auch noch ne Frage: Müssen die Mitarbeiter von extern denn auf den Server zugriff haben oder braucht der nur intern erreichbar sein?
Schönen Gruß
Mike
(P.S. da auch andere hier lesen wäre es ggf. Sinnvoll wenn auch du deine Idee schreibst - jemand anders der das nur liest könnte das ja für sich Sinnvoll finden... Ansonsten würde ich sagen das hier jeder seine Ideen für sich behält - ich bin nur nicht sicher ob dir das weiterhilft)
klar hab ich ne Idee - aber die will ich nicht posten damit auch ich keine Richtung festlege...
Ansonsten hab ich aber auch noch ne Frage: Müssen die Mitarbeiter von extern denn auf den Server zugriff haben oder braucht der nur intern erreichbar sein?
Schönen Gruß
Mike
(P.S. da auch andere hier lesen wäre es ggf. Sinnvoll wenn auch du deine Idee schreibst - jemand anders der das nur liest könnte das ja für sich Sinnvoll finden... Ansonsten würde ich sagen das hier jeder seine Ideen für sich behält - ich bin nur nicht sicher ob dir das weiterhilft)
hi,
sorry, war eine blöde Idee.
Meine Idee (wobei ich an der Umsetzbarkeit zweifle) ist:
- Ich weiß nicht ob und wie das so geht
- Nicht alle CRM User haben bei uns auch einen AD-User
- großer Aufwand mit den ganzen Zertifikaten
- Einige externe Mitarbeiter haben nichts zu suchen auf den Servern sondern brauchen NUR das CRM System.
- ist meine letzte Lösung wenn ich wirklich keinen anderen Weg habe
- Die OVPN Treiber machen Probleme mit Win7
Die Zugriffsbeschränkung ist nur für externe Wichtig. (Vertreter und Adressagents). Interne Mitarbeiter dürfen alle auf das System zugreifen.
glg, Pat
sorry, war eine blöde Idee.
Meine Idee (wobei ich an der Umsetzbarkeit zweifle) ist:
- Ein Zertifikat, das in den Browser eingebunden ist und von mir vergeben wird. Wenn der Mitarbeiter ausscheidet wird das Zertifikat von mir am Server wieder gelöscht und er hat keinen Zugriff mehr.
- Ich weiß nicht ob und wie das so geht
- Nicht alle CRM User haben bei uns auch einen AD-User
- Einen OVPN Tunnel um die externen Mitarbeiter ins "interne Netz" zu lassen und die Seite ganz von Außen sperren.
- großer Aufwand mit den ganzen Zertifikaten
- Einige externe Mitarbeiter haben nichts zu suchen auf den Servern sondern brauchen NUR das CRM System.
- ist meine letzte Lösung wenn ich wirklich keinen anderen Weg habe
- Die OVPN Treiber machen Probleme mit Win7
Die Zugriffsbeschränkung ist nur für externe Wichtig. (Vertreter und Adressagents). Interne Mitarbeiter dürfen alle auf das System zugreifen.
glg, Pat
Moin,
Meine Ideen:
- ne .htaccess-Datei einsetzen. Hier gibt es dann ein Passwort um sich generell anzumelden -> scheidet nen Mitarbeiter aus dann wird das PW geändert und an alle per Mail geschickt.
- zweiten VPN-Einwahlrechner welcher mit dem internen Kabel direkt am Webserver hängt -> schon kann der User auch nur auf den Webserver gehen
- Je nach VPN-Server kannst du auch dort schon per FW-Richtlinie sagen wer wohin darf
Und ganz wichtig: Wer sein Passwort hier an andere Mitarbeiter gibt dem muss auch eine entsprechende Sanktion drohen und dies muss den Leuten mal vor Augen geführt werden. Nehmen wir mal an das ich bei euch arbeite und das Passwort vom Mitarbeiter X habe. Morgen kommt der Chef an und sagt mir das in der nächsten Zeit wohl jemand gehen muss (selbst nur ne Andeutung im Halbsatz). Jetzt gehe ich mit dem PW von X ins CMS und schreibe erstmal wie ###e doch alles ist, der Chef ist eh nen Arsch und (sofern euer CMS ne Mail-Funktion hat) ein paar Daten schicke ich noch zu ner anderen Firma. Wird dann sicher "großes Kino" wenn X dann zum Mitarbeitergespräch gerufen wird - und ich lehne mich zurück und genieße... (Achso - man kann hier gut als Ratgeber den "Bastard Operator from Hell" lesen. Nur falls man noch Ideen sucht was man alles mit anderen Accounts machen kann...)
Meine Ideen:
- ne .htaccess-Datei einsetzen. Hier gibt es dann ein Passwort um sich generell anzumelden -> scheidet nen Mitarbeiter aus dann wird das PW geändert und an alle per Mail geschickt.
- zweiten VPN-Einwahlrechner welcher mit dem internen Kabel direkt am Webserver hängt -> schon kann der User auch nur auf den Webserver gehen
- Je nach VPN-Server kannst du auch dort schon per FW-Richtlinie sagen wer wohin darf
Und ganz wichtig: Wer sein Passwort hier an andere Mitarbeiter gibt dem muss auch eine entsprechende Sanktion drohen und dies muss den Leuten mal vor Augen geführt werden. Nehmen wir mal an das ich bei euch arbeite und das Passwort vom Mitarbeiter X habe. Morgen kommt der Chef an und sagt mir das in der nächsten Zeit wohl jemand gehen muss (selbst nur ne Andeutung im Halbsatz). Jetzt gehe ich mit dem PW von X ins CMS und schreibe erstmal wie ###e doch alles ist, der Chef ist eh nen Arsch und (sofern euer CMS ne Mail-Funktion hat) ein paar Daten schicke ich noch zu ner anderen Firma. Wird dann sicher "großes Kino" wenn X dann zum Mitarbeitergespräch gerufen wird - und ich lehne mich zurück und genieße... (Achso - man kann hier gut als Ratgeber den "Bastard Operator from Hell" lesen. Nur falls man noch Ideen sucht was man alles mit anderen Accounts machen kann...)
Hi,
Danke für deine Ideen.
Da es schnell, einfach und billig gehen soll (scheinbar der neue Leitspruch in vielen Firmen) werd ich mal das mit der .htaccess vorschlagen. Mal schaun ob ihnen das gefällt.
Das mit den Androhungen hab ich schon versucht. Weiß nicht ob das was geholfen hat... die sagen mir ja nicht bescheid das sie jetzt was böses gemacht haben
.
ich meld mich noch mal falls ich noch Nachschub brauche.
danke, noch einen schönen Montag
Danke für deine Ideen.
Da es schnell, einfach und billig gehen soll (scheinbar der neue Leitspruch in vielen Firmen) werd ich mal das mit der .htaccess vorschlagen. Mal schaun ob ihnen das gefällt.
Das mit den Androhungen hab ich schon versucht. Weiß nicht ob das was geholfen hat... die sagen mir ja nicht bescheid das sie jetzt was böses gemacht haben
.ich meld mich noch mal falls ich noch Nachschub brauche.
danke, noch einen schönen Montag
Naja - was ich in jedem Fall da tun würde: Mir angucken wo das CMS die IP des Teilnehmers speichert (bzw. so eine Funktion notfalls eben selbst einbauen). Dann kann man gucken ob sich ein User zufällig gleichzeitig von verschiedenen IPs anmeldet bzw. ein User der def. den Tag im Büro war die ganze Zeit mit ner öffentlichen IP kommt...
Hallo,
das einfachsts wären sicher die Clientzertifikate. Ob per IIS oder VPN. VPN ist aufwendiger aber deutlich sicherer.
Am sichersten ist eine Lösung mit einem Token. Der zeigt PINs an die man eingeben muss. Kein gültiger Token? Kein Zugriff.
Diese lassen sich recht einfach ausstellen. Installiert muss Du sie aber (z.B. per Remote). Da diese ja sonst weitergeleitet und woanders installiert werden könnten.
Sobald Du ein Clientzertifikat für ungültig erklärst, kann sich derjenige nicht mehr einwählen. Auch wenn er ein gültiges Kennwort hat.
Grundsätzlich sollten aber wirklich Sanktionen angedroht werden.
Wobei drohen das falsche Wort ist. Bei vielen Firmen wird schon bei der 1. Nutzung fristlos gekündigt.
Das ist ja so als ob ich mir Deinen Firmentürschlüssel "leihe".
Stefan
das einfachsts wären sicher die Clientzertifikate. Ob per IIS oder VPN. VPN ist aufwendiger aber deutlich sicherer.
Am sichersten ist eine Lösung mit einem Token. Der zeigt PINs an die man eingeben muss. Kein gültiger Token? Kein Zugriff.
Diese lassen sich recht einfach ausstellen. Installiert muss Du sie aber (z.B. per Remote). Da diese ja sonst weitergeleitet und woanders installiert werden könnten.
Sobald Du ein Clientzertifikat für ungültig erklärst, kann sich derjenige nicht mehr einwählen. Auch wenn er ein gültiges Kennwort hat.
Grundsätzlich sollten aber wirklich Sanktionen angedroht werden.
Wobei drohen das falsche Wort ist. Bei vielen Firmen wird schon bei der 1. Nutzung fristlos gekündigt.
Das ist ja so als ob ich mir Deinen Firmentürschlüssel "leihe".
Stefan
Hallo,
kannst du mir das mit dem Token mal etwas näher bringen? Um was geht's dabei? Wo/Wie wird das installiert? (Frag nur damit ich weiß nach was ich suchen kann).
die Clientzertifikate kann ich doch sich nur für AD User ausstellen, oder?
Pat
kannst du mir das mit dem Token mal etwas näher bringen? Um was geht's dabei? Wo/Wie wird das installiert? (Frag nur damit ich weiß nach was ich suchen kann).
die Clientzertifikate kann ich doch sich nur für AD User ausstellen, oder?
Pat
z.B. sowas hier: http://www.tokenguard.com/RSA-SecurID-SID700.asp
*smile*
nett
Aber leider mit kosten verbunden. Da brauch ich nicht mal fragen gehen.
Ich überleg grad zwischen .htaccess und VPN herum.
danke,
glg, pat
nett
Aber leider mit kosten verbunden. Da brauch ich nicht mal fragen gehen.
Ich überleg grad zwischen .htaccess und VPN herum.
danke,
glg, pat
Hallo!
eine andere Möglichkeit:
den User IUSR (anonymer User für http-zugriff) zu entfernen (in den Sicherheitseinstellungen des Dateisystems der betreffenden Ordner) und stattdessen eine Gruppe (von mir aus aktive_Mitarbeiter mit Lese/Schreibrechten(wo nötig) auszustatten.
Mitarbeiter scheidet aus --> wird aus der Gruppe entfernt --> kein Zugriff
schnell, billig, einfach
lg
Edi
eine andere Möglichkeit:
den User IUSR (anonymer User für http-zugriff) zu entfernen (in den Sicherheitseinstellungen des Dateisystems der betreffenden Ordner) und stattdessen eine Gruppe (von mir aus aktive_Mitarbeiter mit Lese/Schreibrechten(wo nötig) auszustatten.
Mitarbeiter scheidet aus --> wird aus der Gruppe entfernt --> kein Zugriff
schnell, billig, einfach
lg
Edi
Super fesche lösung wenn das eine Intranetseite wäre und alle benutzer einen AD - User hätten.
aber danke für die mögliche Lösung!
glg, Patrick
aber danke für die mögliche Lösung!
glg, Patrick
Hallo!
Freut mich, dass Du mit dieser Lösung etwas anfangen könntest...
Anmerkung zum Schluss:
Von extern poppt einfach ein Authentifizierungsfenster auf...
meineDomäne\username + passwort öffnet Tür und Tor
lg
Freut mich, dass Du mit dieser Lösung etwas anfangen könntest...
Anmerkung zum Schluss:
wenn das eine Intranetseite wäre
stellt kein Hindernis dar...Von extern poppt einfach ein Authentifizierungsfenster auf...
meineDomäne\username + passwort öffnet Tür und Tor
lg
Damit ich meinen Ego halber das letzte Wort habe:
Wenn jeder einen AD - User hätte, wär das alles viel leichter.
lg
Wenn jeder einen AD - User hätte, wär das alles viel leichter.
lg
