11
Nur einen Netzwerkzugriff gewähren
Hallo,
ich bräuchte mal Hilfe von jemanden.
Ich möchte das meine Clients sich nur noch mit einem Netzwerkverbinden. BSP Am Firmennetz per Kabel angebunden dann darf keine zweite Netzwerkverbindung erlaubt werden wenn man sich am Nächsten Switch mit einem zweiten Kabel anschließt an einem anderen Netz.
Mit Wlan eigetnlich das gleiche denke das hängt zsm. Ich meine dafür gäbe es eine GPO, wenn mir jemand auf die Sprünge helfen kann. Andere wege gerne auch
ich bräuchte mal Hilfe von jemanden.
Ich möchte das meine Clients sich nur noch mit einem Netzwerkverbinden. BSP Am Firmennetz per Kabel angebunden dann darf keine zweite Netzwerkverbindung erlaubt werden wenn man sich am Nächsten Switch mit einem zweiten Kabel anschließt an einem anderen Netz.
Mit Wlan eigetnlich das gleiche denke das hängt zsm. Ich meine dafür gäbe es eine GPO, wenn mir jemand auf die Sprünge helfen kann. Andere wege gerne auch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668752
Url: https://administrator.de/contentid/668752
Ausgedruckt am: 16.10.2024 um 00:10 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Bitte mach das erstmal klar.
Danke + VG
Ahja:
dann darf keine zweite Netzwerkverbindung erlaubt werden wenn man sich am Nächsten Switch mit einem zweiten Kabel anschließt an einem anderen Netz.
Wie ist das genau zu verstehen?- Haben deine Clients/Rechner 2 NICs und die User stöppeln gerne 2 Netzwerkkabel in die Möhre?
- Wenn der Rechner einmalig am Firmennetz angemeldet hat, dann darf der Rechner sich niemehr wo anders anmelden dürfen!?
Bitte mach das erstmal klar.
Danke + VG
Ahja:
Mit Wlan eigetnlich das gleiche denke das hängt zsm
Die Edit macht Dir das gerne wieder sauber..
1
Hey sry für die etwas löchrige Beschreibung.
Die Laptops dürfen und müssen sich dann wieder umhängen können.
Es ist um dir das Bildlich vorzuführen eine Labornetz Umgebung.
Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.
Also wenn Netzwerkverbindung da dann alle anderen unterbrechen wenn Netzwerk Verbindung nicht da dann mit allem Verbinden was geht. Bis wieder eine Verbindung greift.
Die Laptops dürfen und müssen sich dann wieder umhängen können.
Es ist um dir das Bildlich vorzuführen eine Labornetz Umgebung.
Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.
Also wenn Netzwerkverbindung da dann alle anderen unterbrechen wenn Netzwerk Verbindung nicht da dann mit allem Verbinden was geht. Bis wieder eine Verbindung greift.
Aber das willst du doch verhindern?
Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.
Vielleicht ists mir zu viel Montag aber ich muss wieder nachfragen:Es gibt 2 Netze in deinem Umfeld, ja?
Eine Laborumgebung und eine "andere" Umgebung, ja?
Die Laptops switchen ständig zwischen beiden Umgebungen hin und her, ja?
Reden wir hier von einem WLAN Netz und einem kabelgebundenen Netz? oder wie sieht das aus? 2x Kabel annem Laptop halte ich für unwahrscheinlich (aber wer weiß^^).
Werde aus deinem Getexte nicht wirklich schlau.. (könnte aber am Montag liegen)
Gruß
1
stacktrace 14.10.2024 um 10:15:08 Uhr
Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.
Vielleicht ists mir zu viel Montag aber ich muss wieder nachfragen:
Es gibt 2 Netze in deinem Umfeld, ja?
Eine Laborumgebung und eine "andere" Umgebung, ja?
Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.
Vielleicht ists mir zu viel Montag aber ich muss wieder nachfragen:
Es gibt 2 Netze in deinem Umfeld, ja?
Eine Laborumgebung und eine "andere" Umgebung, ja?
Ich verstehe es so, daß es ein Labornetz und ein Produktivnetz gibt. Wenn ei Rechner im Labornetz verbunden ist, soll er nicht zeitgleich auch im Produktivnetz verbunden sein. - Macht Sinn.
Wenn es sich um ein Laptop / Notebook handelt, wird es schwieriger. Weil das Gerät ist ja transportabel. Somit kann das Gerät an beiden Netzen angeschlossen werden. Man könnte es an den Switchen mittels DENY-Regeln konfigurieren. Oder wie vom Beitragserstatter via GPO.
Gruss Penny.
Hm...man kann das wohl generell machen.
https://www.windowspro.de/wolfgang-sommergut/wlans-blockieren-zulassen-n ...
Ist zwar alles Wlan, müsste man halt für LAN auch machen.
Wär jetzt interessant, ob man das mit dem Taskmanager triggern kann, sodass man beim Erkennen einer Netzwerkverbindung ein Script losschicken kann. Oder eben auch, wenn keine Verbindung erkannt wird nd man da dann gesperrte Netze wieder freischalten kann.
Wär eigentlich mal interessant für ein Programmierprojekt.
https://www.windowspro.de/wolfgang-sommergut/wlans-blockieren-zulassen-n ...
Ist zwar alles Wlan, müsste man halt für LAN auch machen.
Wär jetzt interessant, ob man das mit dem Taskmanager triggern kann, sodass man beim Erkennen einer Netzwerkverbindung ein Script losschicken kann. Oder eben auch, wenn keine Verbindung erkannt wird nd man da dann gesperrte Netze wieder freischalten kann.
Wär eigentlich mal interessant für ein Programmierprojekt.
hey so nach 100 Montagsmeetings und Teams runden kommen wir mal zum Thema.
In deiner Antwort hattest du doch soweit alles richtig verstanden
Nur das ich keine deny Regel will sondern es Per Client regeln will.
Da das Labornetz eine eigene Firewall hat und mir dann der Kollege auf seltsame Ideen kommt da die vollen Zugang auf diese haben.
Ich muss es schaffen Client seitig zuzumachen und JA wir haben auch Geräte mit mehreren Netzwerkkarten und LAptop muss halt Wlan/Lan seitig die Regel erstellt werden.
Beide Netze vorhanden Lan und WLan
In deiner Antwort hattest du doch soweit alles richtig verstanden
Nur das ich keine deny Regel will sondern es Per Client regeln will.
Da das Labornetz eine eigene Firewall hat und mir dann der Kollege auf seltsame Ideen kommt da die vollen Zugang auf diese haben.
Ich muss es schaffen Client seitig zuzumachen und JA wir haben auch Geräte mit mehreren Netzwerkkarten und LAptop muss halt Wlan/Lan seitig die Regel erstellt werden.
Beide Netze vorhanden Lan und WLan
Moin,
folgende Idee, die du dann mal prüfen müsstest:
wenn im Eventlog das Verbinden/ trennen der (Wifi)-Nic ersichtlich wird und auch, mit welchem Netz die sich verbunden haben, könnte man diese Event nutzen, um die NICs zu (de)aktivieren.
Du musst nur dafür sorgen, dass die LAN-NIC wieder aktiviet wird, wenn die Wifi-Verbindung getrennt wurde, sonst checkt Windows ja nicht, dass man per Kabel verbunden ist.
Das (De)Aktivieren wird dann per Taskscheduler geprüft und überwacht dann die passenden EventLog-Events
folgende Idee, die du dann mal prüfen müsstest:
wenn im Eventlog das Verbinden/ trennen der (Wifi)-Nic ersichtlich wird und auch, mit welchem Netz die sich verbunden haben, könnte man diese Event nutzen, um die NICs zu (de)aktivieren.
Du musst nur dafür sorgen, dass die LAN-NIC wieder aktiviet wird, wenn die Wifi-Verbindung getrennt wurde, sonst checkt Windows ja nicht, dass man per Kabel verbunden ist.
Das (De)Aktivieren wird dann per Taskscheduler geprüft und überwacht dann die passenden EventLog-Events
Der TO zäumt das Pferd von der falschen Seite auf! Das jeweilige Netzwerk muss doch vorgeben welche User es will bzw. erlaubt.
Das Zauberwort lautet 802.1x Netzwerk Security. Das kann heutzutage jeder popelige Switch oder WiFi Accesspoint. Damit lässt "das Netz" nur die User zu die in dem Netz arbeiten dürfen. Idealerweise weist man dem User dann auch dynamisch sein Netzwerk zu. Das ist der übliche Weg LANs und WLAN vor missbräulic hen benutzern abzusichern.
Das ist im Handumdrehen aufgesetzt und supportet heute fast jeder Baumarkt Switch. Alles weitere erklärt die dieses Forentutorial mit seinen weiterführenden Links. Lesen und verstehen...
Das Zauberwort lautet 802.1x Netzwerk Security. Das kann heutzutage jeder popelige Switch oder WiFi Accesspoint. Damit lässt "das Netz" nur die User zu die in dem Netz arbeiten dürfen. Idealerweise weist man dem User dann auch dynamisch sein Netzwerk zu. Das ist der übliche Weg LANs und WLAN vor missbräulic hen benutzern abzusichern.
Das ist im Handumdrehen aufgesetzt und supportet heute fast jeder Baumarkt Switch. Alles weitere erklärt die dieses Forentutorial mit seinen weiterführenden Links. Lesen und verstehen...
Aber 802.1x lässt IMHO doch auch gleichzeitige Nutzung zweier Netzwerke zu.
Der User ist ja für Netz A und Netz B berechtigt. Nur muss die Verbindung zu Netz B unmöglich sein, wenn sich der User in Netz A einstöpselt und umgekehrt.
Ich glaub noch immer, dass der Weg über Tasks und netsh-scripts ein Lösungsansatz ist.
Könnte man theoretisch auch ohne Tasks machen, wenn man den Usern manuell auszuführende Skripte auf die Rechner klatscht. Sodass die User per Mausklick immer nur ein Netz offen haben. Stöpseln die um, müssen sie erst per Mausklick freigeben, dass das Netzwerk verfügbar wird.
Setzt natürlich voraus, dass die User wissen, wann sie welches Netz brauchen sollen.
Der User ist ja für Netz A und Netz B berechtigt. Nur muss die Verbindung zu Netz B unmöglich sein, wenn sich der User in Netz A einstöpselt und umgekehrt.
Ich glaub noch immer, dass der Weg über Tasks und netsh-scripts ein Lösungsansatz ist.
Könnte man theoretisch auch ohne Tasks machen, wenn man den Usern manuell auszuführende Skripte auf die Rechner klatscht. Sodass die User per Mausklick immer nur ein Netz offen haben. Stöpseln die um, müssen sie erst per Mausklick freigeben, dass das Netzwerk verfügbar wird.
Setzt natürlich voraus, dass die User wissen, wann sie welches Netz brauchen sollen.
Per se ja. Aber wenn MAB genutzt wird ist die Zugangskontrolle auf die Mac Adresse des Adapters festgelegt. Mit z.B. einer 2ten NIC die nicht erlaubt ist unterbindet man dann 2 aktive (oder mehr) Verbindungen. Die spezifische Netzwerk Zuweisung macht man dann über dynamische VLANs.
Ob man MAB dabei allein oder zusätzlich zu .1x nutzt ist dann eine Frage der Zugangspolicy.
Tasks wird sicher auch gehen nur ist ja der spezifische Aufwand und Handling etwas höher. Zumal man die Scripts auch vor Manipulation sichern muss. Aber wie immer gibt es ja mehrere Wege nach Rom und der TO kann sich den Schönsten für sich aussuchen!
Ob man MAB dabei allein oder zusätzlich zu .1x nutzt ist dann eine Frage der Zugangspolicy.
Tasks wird sicher auch gehen nur ist ja der spezifische Aufwand und Handling etwas höher. Zumal man die Scripts auch vor Manipulation sichern muss. Aber wie immer gibt es ja mehrere Wege nach Rom und der TO kann sich den Schönsten für sich aussuchen!
