17
PCs abschotten, damit keine Dateien rausgehen (Windows 10-CLients auf Windows-Server 2016 Active Directory-Struktur)?
Frage:
Gibt es Möglichkeiten unter Windows folgende Dinge zu unterbinden - ich meine geben müsste sie sie ja, sonst kann man die EUDSGVO ja gleich wieder vergessen, wenn in sicherheitskritischen Branchen und Unternehmen Daten durchsickern könnten:
Sind zwar drastische Maßnahmen, die mir da vorschweben, ich sehen aber keine andere Möglichkeit, zu gewährleisten, dass jegliche Art von Daten auch im Unternehmen bleiben.
Gibt es Möglichkeiten unter Windows folgende Dinge zu unterbinden - ich meine geben müsste sie sie ja, sonst kann man die EUDSGVO ja gleich wieder vergessen, wenn in sicherheitskritischen Branchen und Unternehmen Daten durchsickern könnten:
- generell den Upload von Dateien via Browser (z.B. irgendwo in eine Cloud, die sich Mitarbeiter eingerichtet haben)
- USB-Sticks, damit dort Mitarbeiter nichts mitnehmen können.
- Speicherung von Dateien auf C: und D: unterbinden (Grund: Laptops könnten da irgendwelche Daten speichern und dann außer Haus "verloren gehen" - Verschlüsselung wäre zwar gut, aber die Daten sind dann trotzdem außer Haus. Besser wäre hier gleich das Server-Laufwerk S: als alleiniges Speicherlaufwerk zuzulassen.
- Sperren von Attachments in E-Mails, die an externe Adressen gehen, also z.B. nicht an xyz@UNTERNEHMEN.de, sondern xyz@irgendwo.de
Sind zwar drastische Maßnahmen, die mir da vorschweben, ich sehen aber keine andere Möglichkeit, zu gewährleisten, dass jegliche Art von Daten auch im Unternehmen bleiben.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 375269
Url: https://administrator.de/forum/pcs-abschotten-damit-keine-dateien-rausgehen-windows-10-clients-auf-windows-server-2016-active-directory-375269.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
einiges kannst Du davon sicher technisch umsetzen, wie z.B. USB sperren, Verschlüsselung nutzen, Firewallregeln. Aber den Rest kannst du nur per Dienstanweisung organisatorisch lösen.
einiges kannst Du davon sicher technisch umsetzen, wie z.B. USB sperren, Verschlüsselung nutzen, Firewallregeln. Aber den Rest kannst du nur per Dienstanweisung organisatorisch lösen.
Gegen Cloud Upload Hilft nur die Seiten zu Sperren wodurch du quasi mit einer Whitelist mehr erreichst und die Seiten Freigibst die Gebraucht werden und alles andere Blocken.
Aber selbst da gibt es Mittel wie Messanger beim Gesichtsbuch ect wo Daten Abhanden kommen können.
Aber auch das Abfotografieren mit dem Handy ist möglich was keine Spuren Hinterlässt.
Aber Win 10 macht ja eh so schon genug Heimtelefonie....
Aber selbst da gibt es Mittel wie Messanger beim Gesichtsbuch ect wo Daten Abhanden kommen können.
Aber auch das Abfotografieren mit dem Handy ist möglich was keine Spuren Hinterlässt.
Aber Win 10 macht ja eh so schon genug Heimtelefonie....
Hallo,
Also an den Geraeten die in unseren "sicherheitskritischen" Bereichen stehen gibt es kein Internet, kein Mail nach draussen, kein USB. Die Geraete koennen nur das wofuer sie da sind und die Leute die daran arbeiten koennen nur das damit tun wofuer die Geraete vorgesehen sind. Die Leute haben einigen Papierkrams (da steht auch drin, dass das private Telefon in den Bereichen nix zu suchen hat) unterschreiben duerfen, bevor sie ueberhaupt die Moeglichkeit erhalten in diesen Bereichen die Tuerklinke benutzen zu duerfen.
Klingt zu hart? Finde ich nicht.
BFF
Also an den Geraeten die in unseren "sicherheitskritischen" Bereichen stehen gibt es kein Internet, kein Mail nach draussen, kein USB. Die Geraete koennen nur das wofuer sie da sind und die Leute die daran arbeiten koennen nur das damit tun wofuer die Geraete vorgesehen sind. Die Leute haben einigen Papierkrams (da steht auch drin, dass das private Telefon in den Bereichen nix zu suchen hat) unterschreiben duerfen, bevor sie ueberhaupt die Moeglichkeit erhalten in diesen Bereichen die Tuerklinke benutzen zu duerfen.
Klingt zu hart? Finde ich nicht.
BFF
Naja, wenn der PC mit dem Internet verbunden ist, dann kann er Daten rausleaken.
Kein Mailanhang? Dann schreibt man halt den Anhang als Text codiert IN den Textteil der Mail. (In Base64 sollte es genauso ineffizient wie normaler Mailanhang sein :-P)
Alle Verbindungen verboten aber Ping zu Diagnosezwecken gelassen? Dann morst man Daten per ICMP Proxy raus ...
usw. und so fort
Glaube das kämpfst du gegen Windmühlen
Kein Mailanhang? Dann schreibt man halt den Anhang als Text codiert IN den Textteil der Mail. (In Base64 sollte es genauso ineffizient wie normaler Mailanhang sein :-P)
Alle Verbindungen verboten aber Ping zu Diagnosezwecken gelassen? Dann morst man Daten per ICMP Proxy raus ...
usw. und so fort
Glaube das kämpfst du gegen Windmühlen
Denke Dein Kommentar war eher fuer @1410640014 gedacht. 
Wenn die Leitung mitspielt ist vieles machbar.
BFF
Glaube das kämpfst du gegen Windmühlen
Wenn die Leitung mitspielt ist vieles machbar.
BFF
Zitat von @NetzwerkDude:
Naja, wenn der PC mit dem Internet verbunden ist, dann kann er Daten rausleaken.
Kein Mailanhang? Dann schreibt man halt den Anhang als Text codiert IN den Textteil der Mail. (In Base64 sollte es genauso ineffizient wie normaler Mailanhang sein :-P)
Alle Verbindungen verboten aber Ping zu Diagnosezwecken gelassen? Dann morst man Daten per ICMP Proxy raus ...
usw. und so fort
Glaube das kämpfst du gegen Windmühlen
Naja, wenn der PC mit dem Internet verbunden ist, dann kann er Daten rausleaken.
Kein Mailanhang? Dann schreibt man halt den Anhang als Text codiert IN den Textteil der Mail. (In Base64 sollte es genauso ineffizient wie normaler Mailanhang sein :-P)
Alle Verbindungen verboten aber Ping zu Diagnosezwecken gelassen? Dann morst man Daten per ICMP Proxy raus ...
usw. und so fort
Glaube das kämpfst du gegen Windmühlen
Oder ein Raspberry mit 1:1 Lanverbindung am PC das dann per Netzwerkfreigabe erreicht werden kann...
Es gibt auch noch den Drucker ;)
Möglichkeiten gibt es viele aber was sind die Daten Wert die du Schützen willst mit welchen Aufwand?
Ah sorry, den Post mit dem Handy geschrieben, dabei den Kommentar an falscher Stelle gesetzt
geben müsste sie sie ja, sonst kann man die EUDSGVO ja gleich wieder vergessen
Du glaubst also noch an solche Märchen das sich US Unternehmen an europäische Gesetze und Vorgaben halten ?!Träum weiter....
wenn der PC mit dem Internet verbunden ist, dann kann er Daten rausleaken.
Das kann er, wie jederman weiss, auch über einen simplen USB Port !
Moin,
Wenn wirklich keine Daten rein und raus sollen, muß Internet abgeklemmt werden und das Heraustragen von Datenträgern (Notebook, Sticks, Mobiltelefone, Zettel, Gehirne, etc.) unterbunden werden.
o.k. Das mit dem Gehirn ist etwas schwieriger zu bewerkstelligen, aber dann muß man halt manche Vorschriften lockern.
lks
Wenn wirklich keine Daten rein und raus sollen, muß Internet abgeklemmt werden und das Heraustragen von Datenträgern (Notebook, Sticks, Mobiltelefone, Zettel, Gehirne, etc.) unterbunden werden.
o.k. Das mit dem Gehirn ist etwas schwieriger zu bewerkstelligen, aber dann muß man halt manche Vorschriften lockern.
lks
o.k. Das mit dem Gehirn ist etwas schwieriger zu bewerkstelligen, aber dann muß man halt manche Vorschriften lockern.
Oooch, das geht. Wegwerf- oder Einwegpersonal einführen. Solange da noch kein Pfand vorgeschrieben ist oder irgend ne Steuer drauf fällig wird ...
Um mal ein bisschen Produktiv zu sein, ja es ist machbar. Aber wie oben schon erwähnt kann der Aufwand extrem hoch werden.
Ich würde das so angehen.
1. Firewall und alles blocken ist klar.
2. Für Internet z.B. Browser in the Box einsetzen mit dem kann man up und Download komplett verhindern auch die Zwischenabablage. Gibt sicher auch noch andere ähnliche Lösungen.
3. Dann geht's an Clients absichern USB einfach komplett verbieten geht mit entsprechender Software relativ Problemlos. Und auch auf C:\ speichern lässt sich schon per GPO verhindert (NTFS Rechte neu setzen)
Bis dahin alles kein Hexenwerk und relativ leicht umzusetzen und man hat einen riesen Schritt in die richtige Richtung gemacht.
4. Dann Mail ja kann man machen einfach in Exchange eine globale Regel setzen die das senden von Anhängen unterbindet, und ggf. den Admin informiert.
5. Jetzt wird es schwieriger: Netzwerk absichern Thema NAC bzw. IEEE 802.1X komplett umsetzen um eben Sachen wie den Pi im Netzwerk auszuschließen.
6. Wieder die Clients nicht verwendete Sata und PCI Ports blockieren gegen SSD einbau etc.
7. Dann noch Peripherie Drucker etc. Prüfen was die so können je nach Gerät und Status wie die eingebunden sind.
Dann sollte man das meiste erschlagen haben. Aber weiter gehen kann man immer Thema Handys Kamera abkleben etc.
Ich würde das so angehen.
1. Firewall und alles blocken ist klar.
2. Für Internet z.B. Browser in the Box einsetzen mit dem kann man up und Download komplett verhindern auch die Zwischenabablage. Gibt sicher auch noch andere ähnliche Lösungen.
3. Dann geht's an Clients absichern USB einfach komplett verbieten geht mit entsprechender Software relativ Problemlos. Und auch auf C:\ speichern lässt sich schon per GPO verhindert (NTFS Rechte neu setzen)
Bis dahin alles kein Hexenwerk und relativ leicht umzusetzen und man hat einen riesen Schritt in die richtige Richtung gemacht.
4. Dann Mail ja kann man machen einfach in Exchange eine globale Regel setzen die das senden von Anhängen unterbindet, und ggf. den Admin informiert.
5. Jetzt wird es schwieriger: Netzwerk absichern Thema NAC bzw. IEEE 802.1X komplett umsetzen um eben Sachen wie den Pi im Netzwerk auszuschließen.
6. Wieder die Clients nicht verwendete Sata und PCI Ports blockieren gegen SSD einbau etc.
7. Dann noch Peripherie Drucker etc. Prüfen was die so können je nach Gerät und Status wie die eingebunden sind.
Dann sollte man das meiste erschlagen haben. Aber weiter gehen kann man immer Thema Handys Kamera abkleben etc.
Aber weiter gehen kann man immer Thema Handys Kamera abkleben etc.
Wie ist das gemeint? Willst Du vorschreiben, dass die Mitarbeiter die Kameras Ihrer Handys abzukleben haben, wenn sie die Firmenräume betreten?Falls ja: Wie verhindert das, dass jemand kurz vorm Abknipsen schnell mal den Aufkleber lüftet?
Ja es gibt Umgebungen in denen das Pflicht ist, AKW z.B. und das sind so spezielle Aufkleber wie bei Lizenzen die beim abziehen kaputt gehen. Und sollte dein Aufkleber defekt kannst dich auf eine sehr genaue Prüfung einstellen :D
Zitat von @UnbekannterNR1:
Ja es gibt Umgebungen in denen das Pflicht ist, AKW z.B. und das sind so spezielle Aufkleber wie bei Lizenzen die beim abziehen kaputt gehen. Und sollte dein Aufkleber defekt kannst dich auf eine sehr genaue Prüfung einstellen :D
Ja es gibt Umgebungen in denen das Pflicht ist, AKW z.B. und das sind so spezielle Aufkleber wie bei Lizenzen die beim abziehen kaputt gehen. Und sollte dein Aufkleber defekt kannst dich auf eine sehr genaue Prüfung einstellen :D
Da ist es einfacher, das private Handy auf dem Gelände zu verbieten, sprich vorne beim Eingang hinterlegen lassen und nach Feierabend wieder aushändigen.
lks
PS. Diese Aufkleber sind ohne Beschädigung ohne weiteres entfernbar und wieder aufzubringen. Man muß nur die richtigen Werkzeuge einsetzen. Aber mal schnell für ein Bild zwischendurch funktioniert das natürlich nicht.
Danke für die Info.
Hm,
naja, halten werden sie sich nicht, es geht mir aber darum alles menschen- (und maschinenmögliche) zu tun, was machbar ist. Wenn dann was passiert, nicht mein Bier.
LG
naja, halten werden sie sich nicht, es geht mir aber darum alles menschen- (und maschinenmögliche) zu tun, was machbar ist. Wenn dann was passiert, nicht mein Bier.
LG
Hallo,
danke für die interessanten Ansätze. Werde mal sehen, was wie wo wann umsetzbar ist. Gute Idee auch das mit den Handys und Kameras. Wird aber wirklich eher auf klassische Dienstverträge und Geheimhaltungsverpflichtungen hinauslaufen.
LG
danke für die interessanten Ansätze. Werde mal sehen, was wie wo wann umsetzbar ist. Gute Idee auch das mit den Handys und Kameras. Wird aber wirklich eher auf klassische Dienstverträge und Geheimhaltungsverpflichtungen hinauslaufen.
LG
