diddi-tb
Goto Top

Softwareverteilung im Netzwerk - Wir möchten die Sicherheit erhöhen

Hallo zusammen,

ich mache mir seit einigen Wochen Gedanken darüber wie wir unser Netzwerk sicherer machen können. In letzer Zeit kommt immer öfter mal eine Meldung von der Security Software weil ein User auf eine gefälschte Mail clickt.

Vorab möchte ich kurz die Situation bei uns schildern. Wir haben einen Server mit Windows 2008 Server (läuft hauptsächlich als Fileserver und synchronisiert Daten zwischen uns und der Online Warenwirtschaft, zusätzlich läuft noch eine SQL Datenbank von DHL). Weiterhin haben wir 15 PC's (hauptsächlich Win7, einer Vista Home und zwei Win8 Pro) in Betrieb. Diese PC's verfügen im Moment über ein Passwortgeschütztes Administrator Konto und ein Benutzerkonto mit Admin Rechten ohne Passwort.

Nun möchte ich gerne Schritt für Schritt das Ganze etwas besser absichern. Als erstes würde ich alle Benutzerkonten mit Adminrechten auf ein Konto mit Standardrechten umstellen. Hier tauchen dann schon die ersten Fragen auf:

- Sollten diese Benutzerkonten dann auch mit Passwörtern versehen werden? Wir haben keinerlei Publikumsverkehr, die PC's werden nur von Mitarbeitern benutzt

- Wenn ich die Benutzerkonten umstelle, ist kein Mitarbeiter mehr in der Lage alle Programme über die Updates aktuell zu halten. Soweit ich mich informiert habe werden nur die Betriebssystem updates installiert. Für alle anderen Updates/Installationen bräuchten die User ja dann das Adminpasswort. Jetzt habe ich aber keine Lust/Zeit an allen 15 Rechnern ständig updates zu installieren. Wie kann ich am einfachsten die Software verteilen? Um es über den Server mit den Gruppenrichtlinien zu machen müsste ich wohl einen Domänencontroller einrichten. Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?

- Da wir auf unserem Server auch Kundendaten haben, wäre es ja dann auch Sinnvoll diese zu verschlüsseln. Würdet ihr dann nur die einzelnen Ordner bzw. Datenbanken verschlüsseln oder die Partitionen oder den kompletten Server inkl. Betriebssystem?

Ich habe noch viele weiter Fragen, aber hier höre ich einfach mal auf und hoffe auf eure Hilfe!

Vielen Dank schomal!

Content-ID: 239180

Url: https://administrator.de/contentid/239180

Printed on: October 13, 2024 at 09:10 o'clock

sk-it83
sk-it83 May 26, 2014 updated at 12:38:41 (UTC)
Goto Top
Hi nicht-fachkraft,

findest du nicht das du diese ganzen Anforderungen von einem Systemhaus lassen machen solltest?

Würde ich an deiner Stelle mal drüber nachdenken ;)

Weitere Kommentare, vor allem zu dem NICHT vorhandenen Passwortschutz spare ich mir mal.

VG
Diddi-tb
Diddi-tb May 26, 2014 at 14:19:41 (UTC)
Goto Top
Hallo licorit,

habe natürlich mit Kommentaren dieser Art gerechnet. Prinzipiell gebe ich Dir da auch zum Teil auch recht. Allerdings entwickelt sich eine Firma manchmal anders als man denkt. Wir haben damals mit drei Leuten und ohne Server angefangen, inzwischen sind wir 10 Mitarbeiter. Der Betrieb ist seit 2009 so schnell gewachsen das wir da andere Dinge zu tun hatten.

Das Systemhaus von dem wir den Server haben hat uns diesbezüglich allerdings auch nicht aufgeklärt...

Da wir uns weiterentwickelt haben, sind wir jetzt eben an dem Punkt wo wir an der EDV weiter optimieren müssen. Wenn es nicht anders geht, sind wir natürlich bereit auch für externe Dienstleistungen Geld auszugeben.

Ich hatte eben die Hoffnung hier ein paar Tips zu bekommen, dann könnte ich mir das alles in Ruhe durchdenken und die Lösung die für uns am besten passt umsetzen. Was anderes würde ein Systemhaus auch nicht machen oder?
keine-ahnung
keine-ahnung May 26, 2014 at 16:08:50 (UTC)
Goto Top
Moin,
Was anderes würde ein Systemhaus auch nicht machen oder?
vermutlich nicht, bei denen sollte man aber zumindest postulieren, dass sie wissen, was sie tun face-wink!
Das Gerassel würde zumindest ich nicht ohne AD verwalten wollen ...
Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
Unbedingt: SBS2011, W2012R2 essental oder standard oder foundation ... je nach gusto. Oder Du ziehst auf den 2008'er die AD-Rolle hoch, nutzt zunächst den WSUS für die MS-update-Verteilung und DFS für die Berechtigungen und Freigaben. Dazu eine vernünftige firewall, eine möglichst zentral zu administrierende Antimalwarelösung und was schickes zum Sichern und ausser Haus bringen. Ist eigentlich ganz easy, ich mach es ja als Nichtfachkraft auch ... aber nur mit Fragen in Foren klappt das vermutlich nicht. Ein wenig Einlesen und -arbeiten braucht's schon erstmal.

LG, Thomas
DerWoWusste
DerWoWusste May 26, 2014 updated at 21:17:39 (UTC)
Goto Top
Hi.

Du zeigst durch Deine Fragen, dass Du im Bereich IT-Sicherheit interessierter Laie bist. Ein Forum kann zwar gute Tipps geben und auch hier und da zum Nachdenken anregen, aber wird aus einem Laien niemanden formen können, der eine geschäftlich IT betreuen kann - auch nicht, wenn es hierbei nur um wenige PCs geht.

Du solltest Dich extern beraten lassen, der Weg ist zu weit. Wenn Du schon jemanden im Haus hättest, der Ahnung hat, könnte man darüber reden, Dich anzulernen, aber ohne rate ich davon ab.

In Kürze zu Deinen Themen:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine Adminrechte.
-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend. WSUS geht auch ohne Domäne, mit Erweiterungen wie https://wsuspackagepublisher.codeplex.com/ kann man damit eine sehr nette Softwareverteilung einrichten, die über Windowsupdates weit hinausgeht
-Verschlüsselung: Dir ist wahrscheinlich bewusst, dass diese nur gegen Diebstahl des Servers schützen kann und sonst nichts? Klar, wenn der Server nicht gut verschlossen steht, sollte man das machen. Dabei ist eine Vollverschlüsselung oft am einfachsten. Jedoch kommen damit technische Herausforderungen bei der Schlüsselübergabe, die man erstmal durchdenken muss, hinzu.
Diddi-tb
Diddi-tb Jun 04, 2014 at 10:43:07 (UTC)
Goto Top
Zitat von @DerWoWusste:

-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine
Adminrechte.

OK - das ist soweit klar. Allerdings ist es bei uns oft der Fall das Abteilungsübergreifend gearbeitet wird. Gerade bei Urlaubsvertretungen wechseln die Mitarbeiter dann den Arbeitsplatz. Im Moment habe ich auf jedem Rechner das gleiche Benutzerkonto (also den gleichen Namen) eingerichtet. Wie wäre hier der Praxistipp. Diesen einen Benutzer auf jedem Rechner beibehalten und die Rechte runterstufen oder muss ich wirklich für jeden Mitarbeiter an jedem PC sein Benutzerkonto einrichten? Das wäre ja extrem umständlich.

-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend.
Wie schon erwähnt haben wir 15 Rechner. WSUS habe ich auf dem Server installiert und eingerichtet. Allerdings stellt sich mir nun die Frage ob ich eine Domäne einrichten soll. Dazu müsste der Domänencontroller nachinstalliert werden. Würdest Du es in unserem Fall über die Domäne machen?

Vielen Dank schon mal!!!!

Weiter Tips von anderen Usern sind natürlich auch sehr willkommen.
DerWoWusste
DerWoWusste Jun 04, 2014 at 11:11:28 (UTC)
Goto Top
muss ich wirklich für jeden Mitarbeiter an jedem PC sein Benutzerkonto einrichten?
Domäne wäre besser, dann hast Du diesen Stress nicht. Wegen WSUS bräuchtest Du keine, die WSUS-Konfig kann man auch über die Registry vornehmen.
Diddi-tb
Diddi-tb Jun 16, 2014 at 05:20:22 (UTC)
Goto Top
Hallo nochmal,

habe jetzt alles am laufen. AD und WSUS funktionieren. Ich habe nun für jeden Benutzer ein Profil angelegt. Allerdings habe ich noch ein Problem, im Moment arbeite ich am Server noch mit dem Administratorkonto. In der AD habe ich jetzt ein Standardbenutzerkonto angelegt mit dem ich mich auf dem Server anmelden will. Wenn ich jetzt versuche mich mit diesem Konto am Server an der Domäne anzumelden erhalten ich folgende Fehlermeldung:

"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist."

Könnt ihr mir einen Tip geben woran das liegt?

Vielen DANK!
DerWoWusste
DerWoWusste Jun 16, 2014 at 05:42:42 (UTC)
Goto Top
An Servern dürfen sich mit Standardeinstellungen nur Admins anmelden. Warum soll sich der Benutzer direct am Server anmelden?
Oder ist der als Terminalserver gedacht?

Konkret: es fehlen die Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben"
Diddi-tb
Diddi-tb Jun 16, 2014 at 07:51:21 (UTC)
Goto Top
Naja, ich dachte aus Sicherheitsgründen wäre das Sinnvoll wenn ich am Server mal arbeite und mich dann mit einem Standardbenutzer anmelde. Meldest Du Dich immer als Admin am Server an?
DevTig
DevTig Jun 16, 2014 at 09:47:08 (UTC)
Goto Top
Hi,
da die Firma noch "relativ" Überschaubar ist. Solltet Ihr so früh wie möglich anfangen eine klare Server / Client Struktur aufzubauen.
Wenn ihr ein Systemhaus an der Hand habt, wendet Euch an dieses und besprecht mit diesem was ihr Euch vorstellt, bzw, haben möchtet.

Ansonsten solltet ihr/Du mal den Ist-Zustand dokumentieren. Danach ist es Sinnvoll einen Soll-Zustand zu definieren und einen Fragen-Katalog zu erstellen.

Der Ist Zustand beschreibt welche Server- / Client-Hardware ihr habt, welche Betriebssysteme im Einsatz sind, wie sich User an den Rechnern anmelden müssen, welche Software (Office, Virenscanner,...) genutzt wird, usw.
Oder Vereinfacht ausgedrückt, Eure komplette Infrastruktur ( Hardware, Software und Netzwerk )

In dem Soll-Zustand würde ich auf jeden Fall die folgenden Dinge mit aufnehmen:
Domain-Controller, Active Directory, WSUS, Virenscanner, Backup, Firewall, Software-Verteilung

Der Fragen Katalog sollte alle Fragen enthalten die Euch zu diesem Thema einfallen. Dazu gehören auch Fragen zu den Kosten bei Anschaffung, Wartung und eventueller Pflege durch externe Dienstleister.

Wenn man dann diese drei Dinge hat, wendet man sich an mehrere Systemhäuser und läßt diese das ganze sichten und den Fragen-Katalog beantworten und eventuell sogar noch ein Angebot erstellen. Alles weitere ist liegt dann an Euch und dem von Euch bevorzugtem Systemhaus.

Und zu guter Letzt, das wichtigste, bezieht von Anfang an die Leute mit ein, welche zum Schluß entscheiden, ob das ganze umgesetzt wird oder nicht.

Grüße
DevTig
DerWoWusste
DerWoWusste Jun 17, 2014 at 00:27:09 (UTC)
Goto Top
Meldest Du Dich immer als Admin am Server an?
Zum Administrieren selbstverständlich, geht nicht ohne. Ich mache natürlich keine unnötigen oder potentiell gefährlichen Dinge als Admin.
Diddi-tb
Diddi-tb Jun 17, 2014 at 06:31:26 (UTC)
Goto Top
Bevor wir umgestellt haben, hatte ich einen lokalen Standardbenutzer (Passwortgeschützt) der automatisch bei hochfahren angemeldet wurde. Der Hintergrund ist folgender: wir haben einige Programme von unserer Wawi zum Abgleich der Daten mit Onlineplattformen die nicht automatisch als Dienst starten. Somit musste ich Sicherstellen, das nach einem Serverneustart diese Programme auch laufen. Weiterhin lädt dann auch eine Steuerung für die Lüftung und die Klima.

Ich möchte aber kein Adminkonto automatisch anmelden. Deshalb möchte ich mich auch auf dem Server mit einem Standardkonto anmelden können. Muss ich da eine Gruppenrichtlinie anpassen?

Nochmals vielen Dank!!!
DerWoWusste
DerWoWusste Jun 17, 2014 updated at 10:42:39 (UTC)
Goto Top
Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man ohne Autologoin auskommt, alles andere ist Murks.
GPO: siehe oben: Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben" innerhalb der Computerkonfig - Sicherheitseinstellungen
Diddi-tb
Diddi-tb Jun 20, 2014 at 13:01:01 (UTC)
Goto Top
Zitat von @DerWoWusste:

Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man
ohne Autologoin auskommt, alles andere ist Murks.
Habe jetzt mit dem Hersteller gesprochen, es ist nicht vorgesehen das Programm als Dienst laufen zu lassen. Ich habe auch einige Versuche mit Srvany und runassvc gemacht. Aber ich kriege es nicht hin das Programm damit als Dienst laufen zu lassen. Bzw. der Dienst läuft aber das Programm greift nicht die Datei auf dem Laufwerk ab um diese in die wawi einzuspielen.

Im Moment sehe ich nur die Möglichkeit mit dem Autologin und die Programme dann im Autostart einzutragen. Gibt es evtl. noch andere Möglichkeiten?

Danke und Gruß
DerWoWusste
DerWoWusste Jun 20, 2014 at 13:06:01 (UTC)
Goto Top
Du musst zunächst analysieren, was im funktionierenden Fall abläuft. Worauf muss der Dienst also Zugriff haben und hat er das derzeit? Der Dienst hat jaschließlich auch ein Benutzerkonto, dass man berechtigen kann, um Zugriffe zu ermöglichen.