3
Sicherheitsleitfaden externe Mitarbeiter (Notebooks)
Hallo,
einige externe Mitarbeiter sollen in Zukunft mit Laptops ausgestattet werden. Die Laptop`s sind Firmeneigentum, daher soll den Usern möglichst viel unstersagt werden. (Z.b. das Installieren/ deinstallieren von Software, Systemänderungen, Internet Einstellungen, usw.)
Meine Frage an Euch, mit welchen Rechten habt ihr "eure" externen Mitarbeiter ausgestattet? Was dürfen die Mitarbeiter mit dem Laptop anstellen (Z.B. Änderungen der IP-Adresse, usw.)
Vielen Dank für eure Antworten
mfg mazza84
einige externe Mitarbeiter sollen in Zukunft mit Laptops ausgestattet werden. Die Laptop`s sind Firmeneigentum, daher soll den Usern möglichst viel unstersagt werden. (Z.b. das Installieren/ deinstallieren von Software, Systemänderungen, Internet Einstellungen, usw.)
Meine Frage an Euch, mit welchen Rechten habt ihr "eure" externen Mitarbeiter ausgestattet? Was dürfen die Mitarbeiter mit dem Laptop anstellen (Z.B. Änderungen der IP-Adresse, usw.)
Vielen Dank für eure Antworten
mfg mazza84
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150536
Url: https://administrator.de/contentid/150536
Printed on: April 24, 2024 at 12:04 o'clock
3 Comments
Latest comment
Hi.
Das ist ein weites Feld. Gib an, was Du erreichen möchtest, sonst wird hier "Tod und Teufel" geschrieben ohne eine Fragestellung zu haben.
Auf der Hand liegen einige wenige Dinge:
-Normale Nutzer können nichts installieren und keine systemweiten Änderungen machen. Was "Interneteinstellungen" sind, musst Du haarklein erläutern - pauschal kann man sagen, dass sie dort schon "etwas" ändern können.
-wenn die Fähigkeit benötigt wird, Netzwerkeinstellungen zu ändern, macht man den Nutzer zum Mitglied in der Gruppe "Netzwerkkonfigurationsoperatoren".
-Für den evtl. irgendwann auftretenden Fall, dass der Nutzer im Außendienst ist und Adminrechte braucht, muss vorher ein Konzept erstellt werden, ebenso dafür, dass er sich (warum auch immer) nicht mehr anmelden kann).
-Ggf. brauchen mobile Nutzer auch eine andere Backupstrategie
Zurück zu Deiner Frage: Gib an, wozu Du absicherst und gegen was genau.
Das ist ein weites Feld. Gib an, was Du erreichen möchtest, sonst wird hier "Tod und Teufel" geschrieben ohne eine Fragestellung zu haben.
Auf der Hand liegen einige wenige Dinge:
-Normale Nutzer können nichts installieren und keine systemweiten Änderungen machen. Was "Interneteinstellungen" sind, musst Du haarklein erläutern - pauschal kann man sagen, dass sie dort schon "etwas" ändern können.
-wenn die Fähigkeit benötigt wird, Netzwerkeinstellungen zu ändern, macht man den Nutzer zum Mitglied in der Gruppe "Netzwerkkonfigurationsoperatoren".
-Für den evtl. irgendwann auftretenden Fall, dass der Nutzer im Außendienst ist und Adminrechte braucht, muss vorher ein Konzept erstellt werden, ebenso dafür, dass er sich (warum auch immer) nicht mehr anmelden kann).
-Ggf. brauchen mobile Nutzer auch eine andere Backupstrategie
Zurück zu Deiner Frage: Gib an, wozu Du absicherst und gegen was genau.
Hallo,
bei uns dürfen, können Mitarbeiter i.d.R. ein Laptop benutzen, mehr nicht, sie sind in der Gruppe der eingeschränkten Benutzer. Falls eine Änderung der IP-Adresse durch den Mitarbeiter notwendig sein sollte, dann wird er zusätzlich der Gruppe Netzwerkkonfigurations-Operatoren hinzugefügt. Weiter, falls es notwendig sein sollte, Druckertreiber zu installiere´n, dann wir er der Gruppe der hauptbenutzer hinzugefügt.
Es ist nicht mein, unser Ziel, das unserer Firma, unsere Mitarbeiter, ob extern oder nicht, bei der Arbeit zu behindern, ich will es denen leicht(er) machen, falls es also angezeigt scheint, dann werden die Mitarbeiter in die Gruppe der Administratoren hinzugefügt, fertig ist die Laube.
Software dürfen die Mitarbeiter installieren mit einer ausdrücklichen schriftlichen Einzelerlabnis, auf Anweisung einer autorisuierten Person.
Das Gerät erhält der Mitarbeiter mit einer aktenkundigen Belehrung durch mich zum Beispiel, ich lese die ihm vor, er liest mit, wir beide unterschreiben.
bei uns dürfen, können Mitarbeiter i.d.R. ein Laptop benutzen, mehr nicht, sie sind in der Gruppe der eingeschränkten Benutzer. Falls eine Änderung der IP-Adresse durch den Mitarbeiter notwendig sein sollte, dann wird er zusätzlich der Gruppe Netzwerkkonfigurations-Operatoren hinzugefügt. Weiter, falls es notwendig sein sollte, Druckertreiber zu installiere´n, dann wir er der Gruppe der hauptbenutzer hinzugefügt.
Es ist nicht mein, unser Ziel, das unserer Firma, unsere Mitarbeiter, ob extern oder nicht, bei der Arbeit zu behindern, ich will es denen leicht(er) machen, falls es also angezeigt scheint, dann werden die Mitarbeiter in die Gruppe der Administratoren hinzugefügt, fertig ist die Laube.
Software dürfen die Mitarbeiter installieren mit einer ausdrücklichen schriftlichen Einzelerlabnis, auf Anweisung einer autorisuierten Person.
Das Gerät erhält der Mitarbeiter mit einer aktenkundigen Belehrung durch mich zum Beispiel, ich lese die ihm vor, er liest mit, wir beide unterschreiben.
Ich verfahre bei unseren Mitarbeitern auch nicht wirklich anders, als es lefgruen geschrieben hat.
Unsere interen Mitarbeiter, welche Programmierung und Kundenbetreuung vor Ort beim Kunden durchführen haben VOLLE Adminrechte. Ja richtig gelesen, weil was nützt es mir, wenn wir, wie aktuell einen Kunden in China haben, unserer Monteuer setzt eine Maschine bei diesem Instand und der Rechner stürzt ab oder ein wichtiges Programmupdate muss eingespielt werden?
Also bekommen diese entsprechende Rechte. Wenn Sie wieder innerhalb der Firma sind und sich entsprechend in unserem Domänennetzwerk einklicken, dann werden auf Fileserver ebene etc. entsprechende Rechte vergeben, wo Lese und Schreibzugriff überprüft werden.
Des Weiteren laufen die Notebooks in regelmässigen Zeitintervall inm Pit Stop ein und werden gewartet und überprüft.
Da es bei uns ungeschriebenes Gesetzt (durch persönliche Gespräche weitergereicht etc) ist, das KEINE Chat, P2P oder sonstige Programme, welche mit der Firma zu tun haben, nicht installiert werden dürfen, halten sich die Kollegen auch entsprechend daran.
Bei externen Mitarbeitern sieht das wieder anders aus, die werden je nach Projekt erst gar nicht ins Netzwerk eingebunden, sondern arbeiten immer offline und bekommen entsprechenden Datenbestand mittels USB Stick, Festplatte oder anderen Medien zur Verfügung gestellt. Ist die Arbeit abgeschlossen und die Daten müssen auf unsere Server zurück gespielt werden, wird dies mittels Virensoftware zumindestens auf Parasiten überprüft. Bei Fund wird direkt OHNE rücksicherung verworfen und gelöscht.
Unsere interen Mitarbeiter, welche Programmierung und Kundenbetreuung vor Ort beim Kunden durchführen haben VOLLE Adminrechte. Ja richtig gelesen, weil was nützt es mir, wenn wir, wie aktuell einen Kunden in China haben, unserer Monteuer setzt eine Maschine bei diesem Instand und der Rechner stürzt ab oder ein wichtiges Programmupdate muss eingespielt werden?
Also bekommen diese entsprechende Rechte. Wenn Sie wieder innerhalb der Firma sind und sich entsprechend in unserem Domänennetzwerk einklicken, dann werden auf Fileserver ebene etc. entsprechende Rechte vergeben, wo Lese und Schreibzugriff überprüft werden.
Des Weiteren laufen die Notebooks in regelmässigen Zeitintervall inm Pit Stop ein und werden gewartet und überprüft.
Da es bei uns ungeschriebenes Gesetzt (durch persönliche Gespräche weitergereicht etc) ist, das KEINE Chat, P2P oder sonstige Programme, welche mit der Firma zu tun haben, nicht installiert werden dürfen, halten sich die Kollegen auch entsprechend daran.
Bei externen Mitarbeitern sieht das wieder anders aus, die werden je nach Projekt erst gar nicht ins Netzwerk eingebunden, sondern arbeiten immer offline und bekommen entsprechenden Datenbestand mittels USB Stick, Festplatte oder anderen Medien zur Verfügung gestellt. Ist die Arbeit abgeschlossen und die Daten müssen auf unsere Server zurück gespielt werden, wird dies mittels Virensoftware zumindestens auf Parasiten überprüft. Bei Fund wird direkt OHNE rücksicherung verworfen und gelöscht.
