garnaloth
Goto Top

Notebooks absichern

Hallöchen,

wir planen in unserem kleinen Unternehmen unsere Außendienstmitarbeiter mit Notebooks auszustatten.
Meine Frage an euch.
Ich suche Sicherheitssoftware z.B.: um zu verhidnern das die ADM#s sich in ein anderes Netzwerk einklinken können oder halt wenn sie es können das sie hinterher bevor die ins Firmennetz einkliken einen Hinweis bekommen das sie sich beim Admin melden müssen.

Des Weiteren interessiert mich was noch wichtig wäre ausser AntivrenSoftware auf einem Notebook für ADM's

Danke schon mal im Vorraus
Gruß
Marcus

Content-ID: 204482

Url: https://administrator.de/forum/notebooks-absichern-204482.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

brammer
brammer 05.04.2013 um 12:22:12 Uhr
Goto Top
Hallo,

da mit handelst du dir viel Ärger mit deinen ADM ein...
Du wirst kaum darum herum kommen, das die sich nicht bei einem Kunden in dessen WLAN verbinden dürfen...

Darüber hinaus solltest du dir Gedanken machen ob nicht die gesamte Daten Partition oder sogar das ganze Laptop mit einer Verschlüsselung versehen wird.
Wenn den mal ein Laptop "gefunden" wird, sind eure Daten relativ schnell beim Wettbewerb...

brammer
Garnaloth
Garnaloth 05.04.2013 um 12:38:13 Uhr
Goto Top
Ja gib mir mehr..... face-smile Gute Idee aber welches Prog. face-smile
Die bekommen noch Datenkarten mit UMTS Modul im Notebook
XenClient
XenClient 05.04.2013 um 12:42:07 Uhr
Goto Top
Ich würde dir einfach vorschlagen dem Benutzer einige rechte zu entziehen, wobei er Installations rechte vermutlich unterwegs ab und zu brauchen wird, ...

Genauso wie mein Vorredner würde ich das Notebook verschlüsseln (alle Partitionen!).

Antiviren Software ist wohl denke ich mal selbstredend und mehr kannst du eigentlich auch nicht mehr wirklich machen, ...

Gruß XenClient
departure69
departure69 05.04.2013 um 13:21:24 Uhr
Goto Top
Wenn Deine Switche das können, kannst Du bei Rückkehr des ADM erzwingen, daß sein ins Firmennetzwerk gepatchtes Notebook zunächst zwangsweise in ein Quarantännetzwerk aufgenommen wird, wo dann ein Virenvollscan sowie Kontrolle und ggf. Nachinstallation aller aktuellen Updates erfolgt, und erst danach kann der User wieder mit dem Notebook arbeiten.

Dieses Szenario ist aber ziemlich aufwendig und geht, glaube ich, nicht ohne 3rd-Party-Software.
-Giraffe-
-Giraffe- 05.04.2013 um 14:48:18 Uhr
Goto Top
Vollverschlüsselung kannst du Bitlocker benutzen von MS. Vorausgesetzt die Hardware spielt mit sowie das passende Betriebssystem. Ansonsten Truecrpyt -> kostenlos.
HappyHippo
HappyHippo 05.04.2013 um 15:02:24 Uhr
Goto Top
Hallo zusammen,

würde auch TrueCrypt nehmen da Bitlocker nicht in allen Windowsversionen enthalten ist.
Ansonsten zwangsweise VPN via UMTS, WLan oder LAN zum Unternehmensnetzwerk - dann kann der ADM so frei arbeiten wie es auch im Netz möglich wäre und Du hast die volle Kontrolle darüber. Zusätzlich kann er so auch auf die Resourcen im Netz zugreifen.

Hat man Windows 7 Enterprise/Ultimate und Windows Server 2008 R2 zur "Verfügung" heißt das ganze DirectAccess
Infos auch unter: http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...

Schöne Grüße
XenClient
XenClient 05.04.2013 um 15:06:04 Uhr
Goto Top
Hey,

mal was anderes, du sagst, dass du nicht möchtest, dass er in andere Netze geht, wie siehts aus mit USB? Bekommt der Benutzer USB-Steckplätze gesperrt? Weil ich denke mal, dass darüber eher eine Gefahr ausgeht als über Netzwerk.

Gruß XenClient
HappyHippo
HappyHippo 05.04.2013 aktualisiert um 16:13:41 Uhr
Goto Top
Hi,

guter Einwand - aber eine vernüftige Virenlösung hat auch ein EndPoint-Protection oder Gerätesteuerung.
z.B. TrendMicro Worry-Free

Gruß
HappyHippo
goscho
goscho 05.04.2013 um 16:01:03 Uhr
Goto Top
Mahlzeit,

wie HappyHippo schon schrieb, solltest du das mit einer guten AV-Netzwerklösung managen.
Mein Tipp:

Symantec Endpoint Protection und Network Access Control

Die Verschlüsselung der Festplatten kann man mit Programmen vieler Anbieter realisieren.
Wenn du Business-Notebooks kaufst (nicht die billigsten), dann kann das durchaus schon dabei sein (bspw. HP Pro oder Elitebooks).

Aber egal, was du dir anschaffst, es ist ein weitaus umfangreichers Unterfangen, als du dir das derzeit vorstellst.

PS: Natürlich kann man den Benutzern verbieten (auch technisch), sich in andere Netze einzuwählen. Ob die ADMs das aber auch so sehen, ist eine ganz andere Sache.
Dilbert-MD
Dilbert-MD 05.04.2013 um 16:06:31 Uhr
Goto Top
Hallo,

Wäre es denkbar, 2 Nutzerkonten anzulegen (1x in-office, 1x out of office) mit unterschiedlichen Rechten und Zugriffsbeschränkung auf bestimmte Daten / Partitionen?

z.B. könnte man auch 2 Datenpartitionen anlegen ( 1x interne Daten, 1x für unterwegs ). Muss der ADM unterwegs bestimmte Daten nutzen, muss er sie vorher auf die öffentliche Partition kopieren, während die Partition/das Verzeichnis "intern" unterwegs nicht erreichbar ist - sofern praktikabel.

Die Partition / das Verzeichnis "intern" ist dann nur von dem Nutzer erreichbar, wenn er sich mit dem Nutzerkonto "in-office" am Firmenserver angemeldet hat.

Ansonsten Daten und Programme/Betriebssystem trennen und wie o.g. Datenbereich verschlüsseln als Minimum. Nutzerkonto ohne Adminrechte sowieso.

Wie sieht es mit einer Dongle-Lösung aus?
Zugriff auf den Laptop/Daten nur, wenn entweder mit dem Firmennetzwerk verbunden oder wenn der Dongle angeschlossen ist.
Vorraussetzung: Dongle darf per Dienstanweisung nicht in der Laptoptasche gelagert werden.

Gruß Holger
Garnaloth
Garnaloth 08.04.2013 um 11:57:14 Uhr
Goto Top
Vielen Dank für Eure zahlreichen Tips und Anregungen.
Ich werde wohl erstmal Kasperky nutzen und die Partionen für den User zum schreiben sperren.
Er soll ja ansich nur per VPN auf unserem TS arbeiten.
USB kann er nutzen, aber nur nach Absprache mit mir. Das klappt ansich jetzt schon ganz gut.
Das mit dem Netzwerk vergesse ich erstmal sonst gibts nur Probleme da könntet ihr recht haben.

Vielen Dank
und Gruß