jimmybondi
Goto Top

Nur bestimmte Rechner in der Domäne zulassen

Hi Leute,

ich habe einen Windows SBS 2k3 R2 im Einsatz und möchte die Domäne so einrichten (absichern), dass nur bestimmte Rechner (IP, besser MAC) auf den Server zugreifen dürfen.

Wie kann ich das am besten regeln? Geht das über eine Gruppenrichtlinie bzw. eine lokale Richtlinie auf dem Server selber?


Gruß
Stefan

Content-ID: 94378

Url: https://administrator.de/forum/nur-bestimmte-rechner-in-der-domaene-zulassen-94378.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

SarekHL
SarekHL 13.08.2008 um 21:13:54 Uhr
Goto Top
Eine Gruppenrichtlinie gilt ja nur dann, wenn die Rechner schon Mitglied der Domäne sind ...
jimmybondi
jimmybondi 13.08.2008 um 21:24:58 Uhr
Goto Top
Stimmt, da muss ich Dir recht geben. Aber wie sieht es dann mit einer lokalen Richtlinie aus, die ich direkt am Server vornehme? Gibt es vielleicht eine andere Lösung? Hintergrund ist, dass keine privaten Rechner (Notebooks, etc.) ins Netzwerk zugelassen werden sollen bzw. diese Geräte keinen Zugriff auf den Server erhalten sollen.
SarekHL
SarekHL 13.08.2008 um 21:28:59 Uhr
Goto Top
Hmm, also brauchst Du praktisch eine Richtlinie, daß nur Domänenmitglieder auf den Server zugreifen dürfen. Müßte man mal googeln ...
TraceHard40
TraceHard40 13.08.2008 um 21:34:19 Uhr
Goto Top
Wenn du z.B. eine Freigabe am Server hast, können ja, wenn du die Sicherheitseinstellungen pflegst auch nur Domänen-Mitglieder darauf zugreifen.

In die Domäne an sich kommen die Clients ja eh nur mit dem Dom-Admin.

MfG,
TraceHard
SarekHL
SarekHL 13.08.2008 um 21:38:51 Uhr
Goto Top
DHCP aus und nur noch mit Reservierungen arbeiten.

Wenn Du den DHCP-Server ausschaltest, wie sollen dann die Reservierungen funktionieren?

Und wenn ein Benutzer den IP-Bereich des Netzwerks kennt, kann er sein Privat-Notebook auch manuell darauf einstellen.


Aber wenn du z.B. eine Freigabe am Server
hast, können ja, wenn du die Sicherheitseinstellungen
pflegst auch nur Domänen-Mitglieder darauf zugreifen.

Jein! Wenn Du auf dem Notebook einen lokalen Benutzer mit dem gleichen Benutzernamen und dem gleichen Kennwort anlegst, kommt der auch rein. Zumindest in der Standardeinstellung. Ganz so einfach wird es also wohl nicht.
TraceHard40
TraceHard40 13.08.2008 um 21:41:25 Uhr
Goto Top
//Fehler erkannt und editiert... face-smile "ausschalten" war in diesem Zusammenhang nicht wörtlich zu nehmen.
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 13.08.2008 um 22:10:40 Uhr
Goto Top
Buenas noches,

ich habe einen Windows SBS 2k3 R2 im Einsatz und möchte die Domäne so einrichten (absichern),


du glaubst doch nicht allen Enstes, dass du mit dynamischen "DHCP-Server"
oder statischen IP-Adressen /Sicherheit/ im Netzwerk erreichst?
Sicherheit fängt bereits an der Eingangstür zu dem Gebäude an, nicht erst wenn jemand
ein Netzwerkkabel in seinen Laptop stecken kann.

Wenn du nicht möchtest, dass fremde Systeme an der Netzwerkkommunikation teilnehmen,
benötigst du z.B. IPSEC. Damit würde ein Client zwar trotzdem eine IP-Adresse vom DHCP erhalten,
jedoch kann der Client diesmal *nicht* an der Netzwerkkommunikation teilnehmen.

Eine Alternative zu IPSEC wäre 802.1x oder zu Zeiten des Windows Server 2008 "NAP".


Viele Grüße
Yusuf Dikmenoglu
15187
15187 13.08.2008 um 22:37:23 Uhr
Goto Top
In die Domäne an sich kommen die Clients ja eh nur mit dem Dom-Admin.
Falsch! Jeder Domänen-Benutzer darf per Default 10 PCs in die Domäne integrieren.
15187
15187 13.08.2008 um 22:48:22 Uhr
Goto Top
Bei der Fragestellung wage ich anzuzweifeln, dass er hier mit IPSEC seine Freude haben wird. Technisch zwar die schnellste Lösung, aber man muss das schon beherrschen, damit man sich nicht selbst ausschließt - ist schnell passiert.
Wenn er das dennoch machen will, sollte die DefaultDomainPolicy auf "Clients-Antworten" und die DefaultDCPolicy auf "Server - REQUIRE" (also "Sicherer Server-Erforderlich") eingestellt sein. Wobei wir hier bedenken müssen, es handelt sich dabei lediglich um Vertraulichkeit und Datenintegrität der Pakete.
Das schützt ihn leider nicht davor, dass jemand seinen PC ans Netzwerk anschließt, seine lokale Richtlinie umstellt und somit wieder mit den Servern kommunizieren kann. Der betroffene User muss dann jedoch noch Domänen-Benutzer sein, um seinen PC in die Domäne zu integrieren.

Was wirksam schützt, wäre IPSEC mit Zertifikaten, wozu er allerdings eine Zertifizierungsstelle einrichten müsste.

Eine gute Lösung ist hier immer, eine Firewall dazwischen zu schalten. Damit lässt sich steuern, welche IPs mit dem DC kommunizieren können und auf welchem Port. So kannst du DHCP-Anfragen beantworten, Rechner bekommt eine IP, aber blocke für die entsprechenden IPs den 389, 137, 138. Das sollte für's erste genügen, um den PC und den User vor den einfachen Zugriffen auf den DC zu hindern. Wohlgemerkt, es geht auch umgekehrt. Alles blocken und nur das durchlassen, was der PC am Server tun können soll. Das ist immer eine Philosophie-Frage und abhängig von vielen vorgegebenen Faktoren.

Gruß,
TC
SarekHL
SarekHL 13.08.2008 um 22:53:06 Uhr
Goto Top
Eine gute Lösung ist hier immer, eine
Firewall dazwischen zu schalten. Damit
lässt sich steuern, welche IPs mit dem DC
kommunizieren können und auf welchem Port.

Auf die Idee hätte ich auch kommen können. Mit einer vernünftigen Firewall könnte er es sogar auf MAC-Ebene steuern. Dann bleiben nicht authorisierte Rechner ganz außenvor und kommen nicht mal an den DHCP-Server ;)
15187
15187 13.08.2008 um 22:59:13 Uhr
Goto Top
Die Verfeinerung mit der MAC ist gut, jedoch noch aufwendiger und auch wenig hilfreich, da sie sich einfach faken läßt. Nunja, meine Lösung mit der IP hat die gleiche Macke... Feste, zum Passieren der FW erlaubte IP eintragen und man kommt wieder dran...
Scheint, als seien Zertifikate doch das vorerst sicherste Mittel. Die Frage ist, wie weit muss er gehen. Für IT-Profis wäre die IP/MAC-Filterung kein Hindernis, für den klassischen "Mein PC ist vor Viren sicher, ich hab ja die XP-Firewall an"-Verbraucher sicherlich eine unüberwindbare Hürde.
Vielleicht versorgt uns der Fragesteller mit mehr Hintergrund dazu...

Gruß,
TC
jimmybondi
jimmybondi 13.08.2008 um 22:59:48 Uhr
Goto Top
Hi,

das mit IPSec und Zertifikaten ist ja alles gut und schön, aber wie sieht es mit den Multifunktionsgeräten aus, die Dokumente einscannen und in eine Freigabe auf dem Server ablegen können?
SarekHL
SarekHL 13.08.2008 um 23:03:14 Uhr
Goto Top
Scheint, als seien Zertifikate doch
das vorerst sicherste Mittel.

Aber Zertifikate kann man auch exportieren und auf einem anderen importieren. Sie sind benutzerabhängig, nicht maschineneabhängig. Oder habe ich da etwas übersehen?
jimmybondi
jimmybondi 13.08.2008 um 23:06:57 Uhr
Goto Top
Ich denke mal nicht, dass der "gewöhnliche" Mitarbeiter auf die Idee kommt und seine IP UND MAC Adresse zu faken. Daher halte ich die Lösung mittels Firewall für den Einsatz geeignet.

Wobei die Einrichtung einer Zertifizierungsstelle und entsprechender Konfiguration des Servers und der Clients auch in Betracht kommt, weil in absehbarer Zeit die komplette Kommunikation im Netzwerk mit IPSec verschlüsselt werden soll.

Dann werde ich mich wohl mal mit diesem Thema eingehender beschäftigen müssen.
15187
15187 13.08.2008 um 23:07:39 Uhr
Goto Top
einfach gesagt: Pech gehabt. Das funktioniert so nicht. Aber wo Du einen Scanner hast... scan das Zertifikat ein und speichere es in der Firmware ... Qutasch, lass das! - War nur Spaß :D

Aber das Problem ist hier einfach das: Wenn DC gleich derjenige Server ist, auf dem der Dokumentenscanner Daten ablegen, wird das kompliziert. Einfacher wäre hier, den DC nur SEINEN Job machen zu lassen und für die Dokumente einen anderen Server zu verwenden. Das könntest Du dann mit MACs und IPs und Certs gut in den Griff bekommen.

Lass uns mal vorne anfangen:
1. Domänen-Benutzer dürfen 10 PCs per Default in die Domäne einbinden - abschalten!
2. Domänen-Admins dürfen das auch per Default. Nachfragen: Sollen sie das noch dürfen?

Danach stellt sich die Frage: Wer kann denn überhaupt noch welchen PC in die Domäne integrieren?

Gruß,
TC
15187
15187 13.08.2008 um 23:08:53 Uhr
Goto Top
Sie heißen Computer-Zertifikate. Ansonsten wären sie sicherlich sinnlos. Es gibt mehr als nur Benutzer-Zertifikate und Computer-Zertifikate.
Zur Sicherung von Mails z.B....

Gruß,
TC
15187
15187 13.08.2008 um 23:09:59 Uhr
Goto Top
Die Änderung der Netzwerkeinstellungen ist für den klassischen Domänen-Benutzer sowieso nicht möglich. Wäre also immernoch der einfachste Weg.
Gruß,
TC

Edit: Blödsinn, Denkfehler, sind ja KEINE Domänen-PCs...
jimmybondi
jimmybondi 13.08.2008 um 23:10:45 Uhr
Goto Top
Es geht darum, dass Mitarbeiter ihre privaten Rechner/ Notebooks nicht im Netzwerk einsetzen sollen. Falls sie es doch machen, sollen sie mit den privaten Geräten weder auf den Server noch ins Internet kommen. Der Zugriff auf das Internet ist nicht das große Problem, wichtiger ist, dass der Server keine Verbindungen von Geräten zulässt, die nicht explizit freigegeben sind.
SarekHL
SarekHL 13.08.2008 um 23:11:59 Uhr
Goto Top
Da vergißt Du aber, daß es ja um private Notebooks geht. Und da ist der User in der Regel auch Administrator ...
15187
15187 13.08.2008 um 23:14:59 Uhr
Goto Top
Schalte einen ipcop dazwischen... Kostenlos, schnell, sicher, einfach zu bedienen. Installiere das Add-On BOT und stell die Beschränkungen ein - fertig. Kann in einer guten Stunde erledigt sein, je nachdem, wieviele Server Ihr habt und wie das Netzwerk aufgebaut ist.

Gruß,
TC
15187
15187 13.08.2008 um 23:17:26 Uhr
Goto Top
falsche Synapse erwischt :D Danke face-wink
15187
15187 13.08.2008 um 23:25:09 Uhr
Goto Top
Das wäre ein Spaß...
Ein User kommt mit seinem Laptop ans Netzwerk, hängt ihn in die Domäne und versucht sich danach, anzumelden.
Ein guter Admin hat vorgesorgt und verwendet folgende Einstellungen:
Benutzer XY darf sich nur an Arbeitsstation WS1 und WS2 anmelden. Laptop ist aber weder noch... also schlägt das erstmal fehl.
Zweitens: Geht der Benutzer nach der Domänen-Integration nach Hause, stellt er fest, dass eine nette GPO, die auf den Container Computer greift (in der sich der Laptop momentan befindet), dafür sorgt, dass der lokale Administrator umbenannt wird. Wie, weiß der Benutzer nicht, weshalb ihm der Admin-Account nicht bekannt ist - eine Anmeldung als lokaler Admin ist dadurch unmöglich.
Bleiben zwei Dinge:
1. [Zensiert] - der Begriff ist hier nicht erlaubt, es hat was mit den Begriffen "Passwort" und "zurücksetzen" zu tun face-wink
2. Neu installieren und ggf. Daten verlieren, sofern wie üblich auf C:\

Fazit: ein mögliches Szenario, aus dem der User fürs Leben lernen sollte...

Gruß,
TC
floetenfranz
floetenfranz 14.08.2008 um 09:54:06 Uhr
Goto Top
hallöle jimmybondi

1. User unterschreiben lassen, das es untersagt ist, fremde, private Rechner ins Netzt zu stöpseln. Das Ganze ist natürlich vorher von der Geschäftsleitung abzusegnen. Ne Abmahnung wirkt manchmal Wunder...
2. Nur soviele Netzwerkdosen patchen, wie auch aktuell benötigt werden.
3. Mangebare Switche benutzen, wo Ports gesperrt/überwacht werden können.
4. mit den Usern sprechen, warum sie soetwas vorhaben.Wird wohl Gründe haben die man nicht wegwischen sollte.

salut