15
Softwareverteilung im Netzwerk - Wir möchten die Sicherheit erhöhen
Hallo zusammen,
ich mache mir seit einigen Wochen Gedanken darüber wie wir unser Netzwerk sicherer machen können. In letzer Zeit kommt immer öfter mal eine Meldung von der Security Software weil ein User auf eine gefälschte Mail clickt.
Vorab möchte ich kurz die Situation bei uns schildern. Wir haben einen Server mit Windows 2008 Server (läuft hauptsächlich als Fileserver und synchronisiert Daten zwischen uns und der Online Warenwirtschaft, zusätzlich läuft noch eine SQL Datenbank von DHL). Weiterhin haben wir 15 PC's (hauptsächlich Win7, einer Vista Home und zwei Win8 Pro) in Betrieb. Diese PC's verfügen im Moment über ein Passwortgeschütztes Administrator Konto und ein Benutzerkonto mit Admin Rechten ohne Passwort.
Nun möchte ich gerne Schritt für Schritt das Ganze etwas besser absichern. Als erstes würde ich alle Benutzerkonten mit Adminrechten auf ein Konto mit Standardrechten umstellen. Hier tauchen dann schon die ersten Fragen auf:
- Sollten diese Benutzerkonten dann auch mit Passwörtern versehen werden? Wir haben keinerlei Publikumsverkehr, die PC's werden nur von Mitarbeitern benutzt
- Wenn ich die Benutzerkonten umstelle, ist kein Mitarbeiter mehr in der Lage alle Programme über die Updates aktuell zu halten. Soweit ich mich informiert habe werden nur die Betriebssystem updates installiert. Für alle anderen Updates/Installationen bräuchten die User ja dann das Adminpasswort. Jetzt habe ich aber keine Lust/Zeit an allen 15 Rechnern ständig updates zu installieren. Wie kann ich am einfachsten die Software verteilen? Um es über den Server mit den Gruppenrichtlinien zu machen müsste ich wohl einen Domänencontroller einrichten. Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
- Da wir auf unserem Server auch Kundendaten haben, wäre es ja dann auch Sinnvoll diese zu verschlüsseln. Würdet ihr dann nur die einzelnen Ordner bzw. Datenbanken verschlüsseln oder die Partitionen oder den kompletten Server inkl. Betriebssystem?
Ich habe noch viele weiter Fragen, aber hier höre ich einfach mal auf und hoffe auf eure Hilfe!
Vielen Dank schomal!
ich mache mir seit einigen Wochen Gedanken darüber wie wir unser Netzwerk sicherer machen können. In letzer Zeit kommt immer öfter mal eine Meldung von der Security Software weil ein User auf eine gefälschte Mail clickt.
Vorab möchte ich kurz die Situation bei uns schildern. Wir haben einen Server mit Windows 2008 Server (läuft hauptsächlich als Fileserver und synchronisiert Daten zwischen uns und der Online Warenwirtschaft, zusätzlich läuft noch eine SQL Datenbank von DHL). Weiterhin haben wir 15 PC's (hauptsächlich Win7, einer Vista Home und zwei Win8 Pro) in Betrieb. Diese PC's verfügen im Moment über ein Passwortgeschütztes Administrator Konto und ein Benutzerkonto mit Admin Rechten ohne Passwort.
Nun möchte ich gerne Schritt für Schritt das Ganze etwas besser absichern. Als erstes würde ich alle Benutzerkonten mit Adminrechten auf ein Konto mit Standardrechten umstellen. Hier tauchen dann schon die ersten Fragen auf:
- Sollten diese Benutzerkonten dann auch mit Passwörtern versehen werden? Wir haben keinerlei Publikumsverkehr, die PC's werden nur von Mitarbeitern benutzt
- Wenn ich die Benutzerkonten umstelle, ist kein Mitarbeiter mehr in der Lage alle Programme über die Updates aktuell zu halten. Soweit ich mich informiert habe werden nur die Betriebssystem updates installiert. Für alle anderen Updates/Installationen bräuchten die User ja dann das Adminpasswort. Jetzt habe ich aber keine Lust/Zeit an allen 15 Rechnern ständig updates zu installieren. Wie kann ich am einfachsten die Software verteilen? Um es über den Server mit den Gruppenrichtlinien zu machen müsste ich wohl einen Domänencontroller einrichten. Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
- Da wir auf unserem Server auch Kundendaten haben, wäre es ja dann auch Sinnvoll diese zu verschlüsseln. Würdet ihr dann nur die einzelnen Ordner bzw. Datenbanken verschlüsseln oder die Partitionen oder den kompletten Server inkl. Betriebssystem?
Ich habe noch viele weiter Fragen, aber hier höre ich einfach mal auf und hoffe auf eure Hilfe!
Vielen Dank schomal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239180
Url: https://administrator.de/contentid/239180
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
15 Kommentare
Neuester Kommentar
Hi nicht-fachkraft,
findest du nicht das du diese ganzen Anforderungen von einem Systemhaus lassen machen solltest?
Würde ich an deiner Stelle mal drüber nachdenken ;)
Weitere Kommentare, vor allem zu dem NICHT vorhandenen Passwortschutz spare ich mir mal.
VG
findest du nicht das du diese ganzen Anforderungen von einem Systemhaus lassen machen solltest?
Würde ich an deiner Stelle mal drüber nachdenken ;)
Weitere Kommentare, vor allem zu dem NICHT vorhandenen Passwortschutz spare ich mir mal.
VG
Hallo licorit,
habe natürlich mit Kommentaren dieser Art gerechnet. Prinzipiell gebe ich Dir da auch zum Teil auch recht. Allerdings entwickelt sich eine Firma manchmal anders als man denkt. Wir haben damals mit drei Leuten und ohne Server angefangen, inzwischen sind wir 10 Mitarbeiter. Der Betrieb ist seit 2009 so schnell gewachsen das wir da andere Dinge zu tun hatten.
Das Systemhaus von dem wir den Server haben hat uns diesbezüglich allerdings auch nicht aufgeklärt...
Da wir uns weiterentwickelt haben, sind wir jetzt eben an dem Punkt wo wir an der EDV weiter optimieren müssen. Wenn es nicht anders geht, sind wir natürlich bereit auch für externe Dienstleistungen Geld auszugeben.
Ich hatte eben die Hoffnung hier ein paar Tips zu bekommen, dann könnte ich mir das alles in Ruhe durchdenken und die Lösung die für uns am besten passt umsetzen. Was anderes würde ein Systemhaus auch nicht machen oder?
habe natürlich mit Kommentaren dieser Art gerechnet. Prinzipiell gebe ich Dir da auch zum Teil auch recht. Allerdings entwickelt sich eine Firma manchmal anders als man denkt. Wir haben damals mit drei Leuten und ohne Server angefangen, inzwischen sind wir 10 Mitarbeiter. Der Betrieb ist seit 2009 so schnell gewachsen das wir da andere Dinge zu tun hatten.
Das Systemhaus von dem wir den Server haben hat uns diesbezüglich allerdings auch nicht aufgeklärt...
Da wir uns weiterentwickelt haben, sind wir jetzt eben an dem Punkt wo wir an der EDV weiter optimieren müssen. Wenn es nicht anders geht, sind wir natürlich bereit auch für externe Dienstleistungen Geld auszugeben.
Ich hatte eben die Hoffnung hier ein paar Tips zu bekommen, dann könnte ich mir das alles in Ruhe durchdenken und die Lösung die für uns am besten passt umsetzen. Was anderes würde ein Systemhaus auch nicht machen oder?
Moin,
!
Das Gerassel würde zumindest ich nicht ohne AD verwalten wollen ...
LG, Thomas
Was anderes würde ein Systemhaus auch nicht machen oder?
vermutlich nicht, bei denen sollte man aber zumindest postulieren, dass sie wissen, was sie tun !Das Gerassel würde zumindest ich nicht ohne AD verwalten wollen ...
Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
Unbedingt: SBS2011, W2012R2 essental oder standard oder foundation ... je nach gusto. Oder Du ziehst auf den 2008'er die AD-Rolle hoch, nutzt zunächst den WSUS für die MS-update-Verteilung und DFS für die Berechtigungen und Freigaben. Dazu eine vernünftige firewall, eine möglichst zentral zu administrierende Antimalwarelösung und was schickes zum Sichern und ausser Haus bringen. Ist eigentlich ganz easy, ich mach es ja als Nichtfachkraft auch ... aber nur mit Fragen in Foren klappt das vermutlich nicht. Ein wenig Einlesen und -arbeiten braucht's schon erstmal.LG, Thomas
Hi.
Du zeigst durch Deine Fragen, dass Du im Bereich IT-Sicherheit interessierter Laie bist. Ein Forum kann zwar gute Tipps geben und auch hier und da zum Nachdenken anregen, aber wird aus einem Laien niemanden formen können, der eine geschäftlich IT betreuen kann - auch nicht, wenn es hierbei nur um wenige PCs geht.
Du solltest Dich extern beraten lassen, der Weg ist zu weit. Wenn Du schon jemanden im Haus hättest, der Ahnung hat, könnte man darüber reden, Dich anzulernen, aber ohne rate ich davon ab.
In Kürze zu Deinen Themen:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine Adminrechte.
-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend. WSUS geht auch ohne Domäne, mit Erweiterungen wie https://wsuspackagepublisher.codeplex.com/ kann man damit eine sehr nette Softwareverteilung einrichten, die über Windowsupdates weit hinausgeht
-Verschlüsselung: Dir ist wahrscheinlich bewusst, dass diese nur gegen Diebstahl des Servers schützen kann und sonst nichts? Klar, wenn der Server nicht gut verschlossen steht, sollte man das machen. Dabei ist eine Vollverschlüsselung oft am einfachsten. Jedoch kommen damit technische Herausforderungen bei der Schlüsselübergabe, die man erstmal durchdenken muss, hinzu.
Du zeigst durch Deine Fragen, dass Du im Bereich IT-Sicherheit interessierter Laie bist. Ein Forum kann zwar gute Tipps geben und auch hier und da zum Nachdenken anregen, aber wird aus einem Laien niemanden formen können, der eine geschäftlich IT betreuen kann - auch nicht, wenn es hierbei nur um wenige PCs geht.
Du solltest Dich extern beraten lassen, der Weg ist zu weit. Wenn Du schon jemanden im Haus hättest, der Ahnung hat, könnte man darüber reden, Dich anzulernen, aber ohne rate ich davon ab.
In Kürze zu Deinen Themen:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine Adminrechte.
-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend. WSUS geht auch ohne Domäne, mit Erweiterungen wie https://wsuspackagepublisher.codeplex.com/ kann man damit eine sehr nette Softwareverteilung einrichten, die über Windowsupdates weit hinausgeht
-Verschlüsselung: Dir ist wahrscheinlich bewusst, dass diese nur gegen Diebstahl des Servers schützen kann und sonst nichts? Klar, wenn der Server nicht gut verschlossen steht, sollte man das machen. Dabei ist eine Vollverschlüsselung oft am einfachsten. Jedoch kommen damit technische Herausforderungen bei der Schlüsselübergabe, die man erstmal durchdenken muss, hinzu.
Zitat von @DerWoWusste:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine
Adminrechte.
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine
Adminrechte.
OK - das ist soweit klar. Allerdings ist es bei uns oft der Fall das Abteilungsübergreifend gearbeitet wird. Gerade bei Urlaubsvertretungen wechseln die Mitarbeiter dann den Arbeitsplatz. Im Moment habe ich auf jedem Rechner das gleiche Benutzerkonto (also den gleichen Namen) eingerichtet. Wie wäre hier der Praxistipp. Diesen einen Benutzer auf jedem Rechner beibehalten und die Rechte runterstufen oder muss ich wirklich für jeden Mitarbeiter an jedem PC sein Benutzerkonto einrichten? Das wäre ja extrem umständlich.
-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend.
Wie schon erwähnt haben wir 15 Rechner. WSUS habe ich auf dem Server installiert und eingerichtet. Allerdings stellt sich mir nun die Frage ob ich eine Domäne einrichten soll. Dazu müsste der Domänencontroller nachinstalliert werden. Würdest Du es in unserem Fall über die Domäne machen?Vielen Dank schon mal!!!!
Weiter Tips von anderen Usern sind natürlich auch sehr willkommen.
muss ich wirklich für jeden Mitarbeiter an jedem PC sein Benutzerkonto einrichten?
Domäne wäre besser, dann hast Du diesen Stress nicht. Wegen WSUS bräuchtest Du keine, die WSUS-Konfig kann man auch über die Registry vornehmen.
Hallo nochmal,
habe jetzt alles am laufen. AD und WSUS funktionieren. Ich habe nun für jeden Benutzer ein Profil angelegt. Allerdings habe ich noch ein Problem, im Moment arbeite ich am Server noch mit dem Administratorkonto. In der AD habe ich jetzt ein Standardbenutzerkonto angelegt mit dem ich mich auf dem Server anmelden will. Wenn ich jetzt versuche mich mit diesem Konto am Server an der Domäne anzumelden erhalten ich folgende Fehlermeldung:
"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist."
Könnt ihr mir einen Tip geben woran das liegt?
Vielen DANK!
habe jetzt alles am laufen. AD und WSUS funktionieren. Ich habe nun für jeden Benutzer ein Profil angelegt. Allerdings habe ich noch ein Problem, im Moment arbeite ich am Server noch mit dem Administratorkonto. In der AD habe ich jetzt ein Standardbenutzerkonto angelegt mit dem ich mich auf dem Server anmelden will. Wenn ich jetzt versuche mich mit diesem Konto am Server an der Domäne anzumelden erhalten ich folgende Fehlermeldung:
"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist."
Könnt ihr mir einen Tip geben woran das liegt?
Vielen DANK!
An Servern dürfen sich mit Standardeinstellungen nur Admins anmelden. Warum soll sich der Benutzer direct am Server anmelden?
Oder ist der als Terminalserver gedacht?
Konkret: es fehlen die Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben"
Oder ist der als Terminalserver gedacht?
Konkret: es fehlen die Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben"
Naja, ich dachte aus Sicherheitsgründen wäre das Sinnvoll wenn ich am Server mal arbeite und mich dann mit einem Standardbenutzer anmelde. Meldest Du Dich immer als Admin am Server an?
Hi,
da die Firma noch "relativ" Überschaubar ist. Solltet Ihr so früh wie möglich anfangen eine klare Server / Client Struktur aufzubauen.
Wenn ihr ein Systemhaus an der Hand habt, wendet Euch an dieses und besprecht mit diesem was ihr Euch vorstellt, bzw, haben möchtet.
Ansonsten solltet ihr/Du mal den Ist-Zustand dokumentieren. Danach ist es Sinnvoll einen Soll-Zustand zu definieren und einen Fragen-Katalog zu erstellen.
Der Ist Zustand beschreibt welche Server- / Client-Hardware ihr habt, welche Betriebssysteme im Einsatz sind, wie sich User an den Rechnern anmelden müssen, welche Software (Office, Virenscanner,...) genutzt wird, usw.
Oder Vereinfacht ausgedrückt, Eure komplette Infrastruktur ( Hardware, Software und Netzwerk )
In dem Soll-Zustand würde ich auf jeden Fall die folgenden Dinge mit aufnehmen:
Domain-Controller, Active Directory, WSUS, Virenscanner, Backup, Firewall, Software-Verteilung
Der Fragen Katalog sollte alle Fragen enthalten die Euch zu diesem Thema einfallen. Dazu gehören auch Fragen zu den Kosten bei Anschaffung, Wartung und eventueller Pflege durch externe Dienstleister.
Wenn man dann diese drei Dinge hat, wendet man sich an mehrere Systemhäuser und läßt diese das ganze sichten und den Fragen-Katalog beantworten und eventuell sogar noch ein Angebot erstellen. Alles weitere ist liegt dann an Euch und dem von Euch bevorzugtem Systemhaus.
Und zu guter Letzt, das wichtigste, bezieht von Anfang an die Leute mit ein, welche zum Schluß entscheiden, ob das ganze umgesetzt wird oder nicht.
Grüße
DevTig
da die Firma noch "relativ" Überschaubar ist. Solltet Ihr so früh wie möglich anfangen eine klare Server / Client Struktur aufzubauen.
Wenn ihr ein Systemhaus an der Hand habt, wendet Euch an dieses und besprecht mit diesem was ihr Euch vorstellt, bzw, haben möchtet.
Ansonsten solltet ihr/Du mal den Ist-Zustand dokumentieren. Danach ist es Sinnvoll einen Soll-Zustand zu definieren und einen Fragen-Katalog zu erstellen.
Der Ist Zustand beschreibt welche Server- / Client-Hardware ihr habt, welche Betriebssysteme im Einsatz sind, wie sich User an den Rechnern anmelden müssen, welche Software (Office, Virenscanner,...) genutzt wird, usw.
Oder Vereinfacht ausgedrückt, Eure komplette Infrastruktur ( Hardware, Software und Netzwerk )
In dem Soll-Zustand würde ich auf jeden Fall die folgenden Dinge mit aufnehmen:
Domain-Controller, Active Directory, WSUS, Virenscanner, Backup, Firewall, Software-Verteilung
Der Fragen Katalog sollte alle Fragen enthalten die Euch zu diesem Thema einfallen. Dazu gehören auch Fragen zu den Kosten bei Anschaffung, Wartung und eventueller Pflege durch externe Dienstleister.
Wenn man dann diese drei Dinge hat, wendet man sich an mehrere Systemhäuser und läßt diese das ganze sichten und den Fragen-Katalog beantworten und eventuell sogar noch ein Angebot erstellen. Alles weitere ist liegt dann an Euch und dem von Euch bevorzugtem Systemhaus.
Und zu guter Letzt, das wichtigste, bezieht von Anfang an die Leute mit ein, welche zum Schluß entscheiden, ob das ganze umgesetzt wird oder nicht.
Grüße
DevTig
Meldest Du Dich immer als Admin am Server an?
Zum Administrieren selbstverständlich, geht nicht ohne. Ich mache natürlich keine unnötigen oder potentiell gefährlichen Dinge als Admin.
Bevor wir umgestellt haben, hatte ich einen lokalen Standardbenutzer (Passwortgeschützt) der automatisch bei hochfahren angemeldet wurde. Der Hintergrund ist folgender: wir haben einige Programme von unserer Wawi zum Abgleich der Daten mit Onlineplattformen die nicht automatisch als Dienst starten. Somit musste ich Sicherstellen, das nach einem Serverneustart diese Programme auch laufen. Weiterhin lädt dann auch eine Steuerung für die Lüftung und die Klima.
Ich möchte aber kein Adminkonto automatisch anmelden. Deshalb möchte ich mich auch auf dem Server mit einem Standardkonto anmelden können. Muss ich da eine Gruppenrichtlinie anpassen?
Nochmals vielen Dank!!!
Ich möchte aber kein Adminkonto automatisch anmelden. Deshalb möchte ich mich auch auf dem Server mit einem Standardkonto anmelden können. Muss ich da eine Gruppenrichtlinie anpassen?
Nochmals vielen Dank!!!
Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man ohne Autologoin auskommt, alles andere ist Murks.
GPO: siehe oben: Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben" innerhalb der Computerkonfig - Sicherheitseinstellungen
GPO: siehe oben: Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben" innerhalb der Computerkonfig - Sicherheitseinstellungen
Zitat von @DerWoWusste:
Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man
ohne Autologoin auskommt, alles andere ist Murks.
Habe jetzt mit dem Hersteller gesprochen, es ist nicht vorgesehen das Programm als Dienst laufen zu lassen. Ich habe auch einige Versuche mit Srvany und runassvc gemacht. Aber ich kriege es nicht hin das Programm damit als Dienst laufen zu lassen. Bzw. der Dienst läuft aber das Programm greift nicht die Datei auf dem Laufwerk ab um diese in die wawi einzuspielen.Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man
ohne Autologoin auskommt, alles andere ist Murks.
Im Moment sehe ich nur die Möglichkeit mit dem Autologin und die Programme dann im Autostart einzutragen. Gibt es evtl. noch andere Möglichkeiten?
Danke und Gruß
Du musst zunächst analysieren, was im funktionierenden Fall abläuft. Worauf muss der Dienst also Zugriff haben und hat er das derzeit? Der Dienst hat jaschließlich auch ein Benutzerkonto, dass man berechtigen kann, um Zugriffe zu ermöglichen.
