tonabnehmer
Goto Top

Noebooks mit Gastzugang: Welche Benutzerkonten, Domäne ja oder nein?

Hallo,

wir haben in unseren Konferenzräumen Notebooks, die sowohl von Mitarbeitern als auch von Gästen benutzt werden dürfen. Die Notebooks sind hauptsächlich für Präsentationen über Beamer oder zum Schreiben von Protokollen gedacht.
Die Notebooks sollen netzwerkseitig nur Zugang ins Internet bekommen. Ausnahmen sind wenige interne Diensten wie WSUS, zentrale Endpoint Protection und VMware Horizon. Mitarbeiter und Gäste sollen sich mit gleichen Konten an den Notebooks anmelden können. Mitarbeiter können sich dann auch über VMware Horizon mit ihrem virtuellen Desktop verbinden. Nach dem Abmelden soll das Profil zurückgesetzt werden.

Nun meine Fragen:
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?
2. Wie würde ich die Benutzerkonten einrichten, lokal oder in der Domäne? Ein Benutzer für alle oder einen pro Notebook?
3. Wie setze ich das Profil nach dem Abmelden zurück?

Danke für Eure Hilfe,
toabnehmer

Content-ID: 366598

Url: https://administrator.de/forum/noebooks-mit-gastzugang-welche-benutzerkonten-domaene-ja-oder-nein-366598.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

sabines
sabines 01.03.2018 um 12:48:23 Uhr
Goto Top
Moin,

die Mitarbeiter müssen bei uns das eigene Arbeits-Notebook zu Besprechungen mitnehmen und verwenden.
Gäste mit eigenem Notebook können es an den Beamer anschließen, aber nicht ans Netzwerk.
Es gab mal ein Live Linux Notebook, das am Netz hing, und jeder benutzen konnte, wir es aber nicht mehr.

Frage: Wozu sollen Gäste eure Notebooks in Konferenzräumen nutzen sollen?

Gruss
tonabnehmer
tonabnehmer 01.03.2018 um 12:59:12 Uhr
Goto Top
Unsere Mitarbeiter haben keine Arbeits-Notebooks, sondern arbeiten über Thin Client auf virtuellen Desktops. Bei Gästen funktioniert nicht immer das Gast WLAN oder irgendetwas anderes geht grad nicht. Dann wird der Gast eben an die vorhandenen Notebooks gelassen - Wunsch der Hausspitze. Die IT hat die Aufgabe den Gast Zugang so gut wie möglich abzusichern.
drummer66
drummer66 01.03.2018 aktualisiert um 13:49:44 Uhr
Goto Top
Hi,
ich würde dafür sorgen dass die vorhanden Notebooks ordnungsgemäß funktionieren,
Fremdgeräte hängen wir niemals in produktive Netze dafür gibt es das Gäste WLAN und mehr nicht, falls die GF auf sowas besteht solltest Du sie mal für mehr Sicherheit sensibilisieren und erklären was bei euch im Netzwerk passiert falls mal so ein Grät infiziert ist.
Selbst die mobilen Geräte der eigenen Mitarbeiter bekommen nur Gäste-WLAN
tonabnehmer
tonabnehmer 01.03.2018 um 14:00:58 Uhr
Goto Top
Da hast Du meinen Ausgangspost falsch verstanden. Die Notebooks sollen nicht ins produktive LAN, sondern in ein separates VLAN. Zugriff auf interne Ressourcen sind nur als Ausnahme gestattet wie z. B. WSUS, Horizon Sicherheitsserver, Server für die Endpoint Protection. Für Gäste gibt es bereits ein isoliertes Gast WLAN mit Zugriff nur ins Internet. Aber es gibt Gäste, bei denen das nicht funktioniert. Diese sollen dann unsere Notebooks mitbenutzen dürfen. Dafür suche ich die sichere Lösung.
wuurian
wuurian 01.03.2018 um 15:24:55 Uhr
Goto Top
Ja, der Ansatz ist aber falsch.

Du willst ein bisschen mit in euer Netz, aber ein bisschen auch nicht.
Schaut lieber zu das euer Gast-WLAN richtig läuft, dann hättest du es doch schon?!
Kraemer
Kraemer 01.03.2018 um 18:02:47 Uhr
Goto Top
Moin,

wenn du nur! Wlan nutzt, solltest du das mit "benutzerspezifischen Netzwerkprofilen" hinbekommen. Habe das vor Jahren bei einem Kunden unter Win7 gesehen. Je nach User hängt das Gerät halt in verschiedenen Wlan und damit verschiedenen Vlan.

Gruß
Dani
Dani 01.03.2018 um 23:01:53 Uhr
Goto Top
Guten Abend,
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?
eigentlich nicht... es ist ein potenzieller Angriffspunkt. Fehlt nur noch, dass die Gäste von ihren USB-Sticks Daten auf das Gerät kopieren. Es soll Malware geben, die im Hintergrund wartet, bis ein DomAdmin sich anmeldet und dann los leght. Das wäre für dich der Supergau.
Mal im ernst, was läuft an Anwendungen auf solch einem Notebook? Ein bisschen Office, VLC und evtl ein Browser. Warum nicht nur alle 3-4 Monate die Updates einspielen? Von wie vielen Notebooks reden wir denn? 1,5 oder 40 Stück.


Gruß,
Dani
ChrisIO
ChrisIO 02.03.2018 aktualisiert um 22:50:44 Uhr
Goto Top
Hey,

ich würde die Notebooks in ein gekapseltes vlan stecken.
Die Firewallkonfiguration sollte nun nicht weiter kompliziert sein, wenn die Geräte eh nicht ins Unternehmensnetzwerk dürfen.
Die Updates würde ich die Geräte online holen lassen.
20-30€ pro Client für den Virenschutz legen die Entscheider bestimmt raus, wenn Du ihn offenbarst, wie viel sicherer diese Lösung ist. Denn wer keine Verbindung hat, kann auch nicht angreifen. ;)

Und zu guter letzt:
VMware Horizon:
Connection und Security Server aufsetzten, alles online verfügbar machen, Zertifikat rein und die Anwender einfach online auf ihre VMs zugreifen lassen.
Wenn die VMs unbedingt per Netzwerk erreichbar sein müssen, ein ungekapseltes vlan wählen und in der Firewall nur die Kommunikation zu Horizon zulassen. Auch hier wieder schön gucken, dass die VMWARE Security eingehalten wird.

Zitat von @tonabnehmer:

Nun meine Fragen:
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?

Die Sicherheit würde nur auf Zugriffsrechten basieren, das kann schnell kritisch werden.

2. Wie würde ich die Benutzerkonten einrichten, lokal oder in der Domäne? Ein Benutzer für alle oder einen pro Notebook?

Ich würde einen lokalen Benutzer pro NB anlegen(Gastaccount geht auch ist beim aktuellen Client OS aber ein kleines bißchen Fummelkram.

3. Wie setze ich das Profil nach dem Abmelden zurück?

Dafür gibt es einen Kiosk Mode soweit ich weiß, habe den aber selber noch nie eingesetzt.
Google oder dieses Board hilft da weiter.

Gruß,
Christoph
Dani
Dani 03.03.2018 um 11:09:13 Uhr
Goto Top
@ChrisIO
VMware Horizon:
Connection und Security Server aufsetzten, alles online verfügbar machen, Zertifikat rein und die Anwender einfach online auf ihre VMs zugreifen lassen.
Wenn die VMs unbedingt per Netzwerk erreichbar sein müssen, ein ungekapseltes vlan wählen und in der Firewall nur die Kommunikation zu Horizon zulassen. Auch hier wieder schön gucken, dass die VMWARE Security eingehalten wird.
Die Idee an sich ist gut. Aber nenn doch einmal die einmalige / wiederkehrende Kosten (Hardware, Lizenzen, Dienstleistung, etc..) und der Aufwand solcher einer Umgebung zu betreiben.


Gruß,
Dani
ChrisIO
ChrisIO 03.03.2018 aktualisiert um 11:24:56 Uhr
Goto Top
Also wenn Du die Updates auf automatisch stellst musst Du doch nur den Virenschutz erneuern wenn die Lizenzen auslaufen.
Die Horizon Umgebung sollte so eingerichtet sein und muss ja eh gewartet werden.

Wenn ich was vergesse, klär mich auf.

Gruß,
Chris
tonabnehmer
tonabnehmer 05.03.2018 um 11:31:10 Uhr
Goto Top
Danke zunächst für die Antworten!

Die Notebooks kommen in ein separates VLAN.

Bzgl. Windows Domäne habt Ihr mich überzeugt. Die Notebooks werden nicht Mitglied der internen Domäne sein. Ich lasse mir die Anzahl der Notebooks geben. Falls es viele sind, denke ich über eine separate Domäne für das VLAN nach.

Eine Horizon Umgebung mit 2 Connection und 1 Security Server haben wir bereits. Ich würde hier noch einen weiteren Security Server (andere Authentifizierung) bereitstellen und über die Firewall für das VLAN der Notebooks freigeben.

Aber bzgl. Windows Updates, Drittsoftware wie Adobe und Virenscanner sehe ich es von Vorteil, wenn das zentral verwaltet wird. Nur so habe ich jederzeit den Überblick über den Patchstand oder ob es auf einem Client Vorfälle mit Schadsoftware gab. Bei uns kann ich mich leider nicht darauf verlassen, dass zeitnah und lückenlos gepatcht wird. Das Risiko den internen WSUS und die Server für Patchmanagement und Antivirensoftware freizugeben, sollte doch überschaubar sein oder?

Ganz zum Schluss kommt mir noch eine andere Idee: Einfach die Notebooks durch Thin Clients zu ersetzen bzw. als Thin Clients zu benutzen und die Desktops als separater Horizon Pool nur mit Zugang zum Internet. Dann halten wir nur das Gold Image aktuell und benötigen keinen Zugriff auf WSUS oder andere interne Server.

Danke und viele Grüße,
tonabnehmer
Dani
Dani 01.04.2018 aktualisiert um 18:06:19 Uhr
Goto Top
Moin,
Ich würde hier noch einen weiteren Security Server (andere Authentifizierung) bereitstellen und über die Firewall für das VLAN der Notebooks freigeben.
Und so das Sicherheitskonzept schwächen... Ok.

Einfach die Notebooks durch Thin Clients zu ersetzen bzw. als Thin Clients zu benutzen und die Desktops als separater Horizon Pool nur mit Zugang zum Internet.
Thinclients sind sperrig und gehen in B-Räumen eigentlich nur im Weg um. Ich würde über ein kl. Linux (z.B. Open Thin Client) nachdenken, welches ausschließlich den VMWare Horizon Client bereitstellt. Nicht mehr als notwendig!


Gruß,
Dani
tonabnehmer
tonabnehmer 16.04.2018 um 14:37:07 Uhr
Goto Top
Hi Dani,

Zitat von @Dani:

Moin,
Ich würde hier noch einen weiteren Security Server (andere Authentifizierung) bereitstellen und über die Firewall für das VLAN der Notebooks freigeben.
Und so das Sicherheitskonzept schwächen... Ok.

Das verstehe ich nicht. Die View-Clients auf den Notebooks in den Besprechungsräumen sollen sich ja nicht mit dem Connection Server und den virtuellen Desktops verbinden, sondern gerade wegen der Sicherheit nur mit dem Security Server.


Einfach die Notebooks durch Thin Clients zu ersetzen bzw. als Thin Clients zu benutzen und die Desktops als separater Horizon Pool nur mit Zugang zum Internet.

Das geht leider nicht. Die Anforderung lautet: Mitarbeiter und Gäste dürfen die Geräte benutzen, wobei Mitarbeiter auf ihren virtuellen Desktop zugreifen dürfen und Gäste nur auf lokal installierte Software (Office, Adobe Reader) und Internet.

Thinclients sind sperrig und gehen in B-Räumen eigentlich nur im Weg um. Ich würde über ein kl. Linux (z.B. Open Thin Client) nachdenken, welches ausschließlich den VMWare Horizon Client bereitstellt. Nicht mehr als notwendig!


Gruß,
Dani

Grüße, tonabnehmer
Dani
Dani 16.04.2018 um 21:05:22 Uhr
Goto Top
Guten Abend,
Das verstehe ich nicht.
du hast geschrieben, du setzt einen weiteren Security Server auf, welcher aber eine andere Authentifizierung. Ist für mich erstmal eine mögliche Schwächnung der Sicherheitsmaßnahmen und damit eine potenzielle Gefahr.


Gruß,
Dani