Softwareverteilung im Netzwerk - Wir möchten die Sicherheit erhöhen
Hallo zusammen,
ich mache mir seit einigen Wochen Gedanken darüber wie wir unser Netzwerk sicherer machen können. In letzer Zeit kommt immer öfter mal eine Meldung von der Security Software weil ein User auf eine gefälschte Mail clickt.
Vorab möchte ich kurz die Situation bei uns schildern. Wir haben einen Server mit Windows 2008 Server (läuft hauptsächlich als Fileserver und synchronisiert Daten zwischen uns und der Online Warenwirtschaft, zusätzlich läuft noch eine SQL Datenbank von DHL). Weiterhin haben wir 15 PC's (hauptsächlich Win7, einer Vista Home und zwei Win8 Pro) in Betrieb. Diese PC's verfügen im Moment über ein Passwortgeschütztes Administrator Konto und ein Benutzerkonto mit Admin Rechten ohne Passwort.
Nun möchte ich gerne Schritt für Schritt das Ganze etwas besser absichern. Als erstes würde ich alle Benutzerkonten mit Adminrechten auf ein Konto mit Standardrechten umstellen. Hier tauchen dann schon die ersten Fragen auf:
- Sollten diese Benutzerkonten dann auch mit Passwörtern versehen werden? Wir haben keinerlei Publikumsverkehr, die PC's werden nur von Mitarbeitern benutzt
- Wenn ich die Benutzerkonten umstelle, ist kein Mitarbeiter mehr in der Lage alle Programme über die Updates aktuell zu halten. Soweit ich mich informiert habe werden nur die Betriebssystem updates installiert. Für alle anderen Updates/Installationen bräuchten die User ja dann das Adminpasswort. Jetzt habe ich aber keine Lust/Zeit an allen 15 Rechnern ständig updates zu installieren. Wie kann ich am einfachsten die Software verteilen? Um es über den Server mit den Gruppenrichtlinien zu machen müsste ich wohl einen Domänencontroller einrichten. Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
- Da wir auf unserem Server auch Kundendaten haben, wäre es ja dann auch Sinnvoll diese zu verschlüsseln. Würdet ihr dann nur die einzelnen Ordner bzw. Datenbanken verschlüsseln oder die Partitionen oder den kompletten Server inkl. Betriebssystem?
Ich habe noch viele weiter Fragen, aber hier höre ich einfach mal auf und hoffe auf eure Hilfe!
Vielen Dank schomal!
ich mache mir seit einigen Wochen Gedanken darüber wie wir unser Netzwerk sicherer machen können. In letzer Zeit kommt immer öfter mal eine Meldung von der Security Software weil ein User auf eine gefälschte Mail clickt.
Vorab möchte ich kurz die Situation bei uns schildern. Wir haben einen Server mit Windows 2008 Server (läuft hauptsächlich als Fileserver und synchronisiert Daten zwischen uns und der Online Warenwirtschaft, zusätzlich läuft noch eine SQL Datenbank von DHL). Weiterhin haben wir 15 PC's (hauptsächlich Win7, einer Vista Home und zwei Win8 Pro) in Betrieb. Diese PC's verfügen im Moment über ein Passwortgeschütztes Administrator Konto und ein Benutzerkonto mit Admin Rechten ohne Passwort.
Nun möchte ich gerne Schritt für Schritt das Ganze etwas besser absichern. Als erstes würde ich alle Benutzerkonten mit Adminrechten auf ein Konto mit Standardrechten umstellen. Hier tauchen dann schon die ersten Fragen auf:
- Sollten diese Benutzerkonten dann auch mit Passwörtern versehen werden? Wir haben keinerlei Publikumsverkehr, die PC's werden nur von Mitarbeitern benutzt
- Wenn ich die Benutzerkonten umstelle, ist kein Mitarbeiter mehr in der Lage alle Programme über die Updates aktuell zu halten. Soweit ich mich informiert habe werden nur die Betriebssystem updates installiert. Für alle anderen Updates/Installationen bräuchten die User ja dann das Adminpasswort. Jetzt habe ich aber keine Lust/Zeit an allen 15 Rechnern ständig updates zu installieren. Wie kann ich am einfachsten die Software verteilen? Um es über den Server mit den Gruppenrichtlinien zu machen müsste ich wohl einen Domänencontroller einrichten. Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
- Da wir auf unserem Server auch Kundendaten haben, wäre es ja dann auch Sinnvoll diese zu verschlüsseln. Würdet ihr dann nur die einzelnen Ordner bzw. Datenbanken verschlüsseln oder die Partitionen oder den kompletten Server inkl. Betriebssystem?
Ich habe noch viele weiter Fragen, aber hier höre ich einfach mal auf und hoffe auf eure Hilfe!
Vielen Dank schomal!
Please also mark the comments that contributed to the solution of the article
Content-ID: 239180
Url: https://administrator.de/contentid/239180
Printed on: October 13, 2024 at 09:10 o'clock
15 Comments
Latest comment
Moin,
Das Gerassel würde zumindest ich nicht ohne AD verwalten wollen ...
LG, Thomas
Was anderes würde ein Systemhaus auch nicht machen oder?
vermutlich nicht, bei denen sollte man aber zumindest postulieren, dass sie wissen, was sie tun !Das Gerassel würde zumindest ich nicht ohne AD verwalten wollen ...
Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
Unbedingt: SBS2011, W2012R2 essental oder standard oder foundation ... je nach gusto. Oder Du ziehst auf den 2008'er die AD-Rolle hoch, nutzt zunächst den WSUS für die MS-update-Verteilung und DFS für die Berechtigungen und Freigaben. Dazu eine vernünftige firewall, eine möglichst zentral zu administrierende Antimalwarelösung und was schickes zum Sichern und ausser Haus bringen. Ist eigentlich ganz easy, ich mach es ja als Nichtfachkraft auch ... aber nur mit Fragen in Foren klappt das vermutlich nicht. Ein wenig Einlesen und -arbeiten braucht's schon erstmal.LG, Thomas
Hi.
Du zeigst durch Deine Fragen, dass Du im Bereich IT-Sicherheit interessierter Laie bist. Ein Forum kann zwar gute Tipps geben und auch hier und da zum Nachdenken anregen, aber wird aus einem Laien niemanden formen können, der eine geschäftlich IT betreuen kann - auch nicht, wenn es hierbei nur um wenige PCs geht.
Du solltest Dich extern beraten lassen, der Weg ist zu weit. Wenn Du schon jemanden im Haus hättest, der Ahnung hat, könnte man darüber reden, Dich anzulernen, aber ohne rate ich davon ab.
In Kürze zu Deinen Themen:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine Adminrechte.
-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend. WSUS geht auch ohne Domäne, mit Erweiterungen wie https://wsuspackagepublisher.codeplex.com/ kann man damit eine sehr nette Softwareverteilung einrichten, die über Windowsupdates weit hinausgeht
-Verschlüsselung: Dir ist wahrscheinlich bewusst, dass diese nur gegen Diebstahl des Servers schützen kann und sonst nichts? Klar, wenn der Server nicht gut verschlossen steht, sollte man das machen. Dabei ist eine Vollverschlüsselung oft am einfachsten. Jedoch kommen damit technische Herausforderungen bei der Schlüsselübergabe, die man erstmal durchdenken muss, hinzu.
Du zeigst durch Deine Fragen, dass Du im Bereich IT-Sicherheit interessierter Laie bist. Ein Forum kann zwar gute Tipps geben und auch hier und da zum Nachdenken anregen, aber wird aus einem Laien niemanden formen können, der eine geschäftlich IT betreuen kann - auch nicht, wenn es hierbei nur um wenige PCs geht.
Du solltest Dich extern beraten lassen, der Weg ist zu weit. Wenn Du schon jemanden im Haus hättest, der Ahnung hat, könnte man darüber reden, Dich anzulernen, aber ohne rate ich davon ab.
In Kürze zu Deinen Themen:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine Adminrechte.
-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend. WSUS geht auch ohne Domäne, mit Erweiterungen wie https://wsuspackagepublisher.codeplex.com/ kann man damit eine sehr nette Softwareverteilung einrichten, die über Windowsupdates weit hinausgeht
-Verschlüsselung: Dir ist wahrscheinlich bewusst, dass diese nur gegen Diebstahl des Servers schützen kann und sonst nichts? Klar, wenn der Server nicht gut verschlossen steht, sollte man das machen. Dabei ist eine Vollverschlüsselung oft am einfachsten. Jedoch kommen damit technische Herausforderungen bei der Schlüsselübergabe, die man erstmal durchdenken muss, hinzu.
Hi,
da die Firma noch "relativ" Überschaubar ist. Solltet Ihr so früh wie möglich anfangen eine klare Server / Client Struktur aufzubauen.
Wenn ihr ein Systemhaus an der Hand habt, wendet Euch an dieses und besprecht mit diesem was ihr Euch vorstellt, bzw, haben möchtet.
Ansonsten solltet ihr/Du mal den Ist-Zustand dokumentieren. Danach ist es Sinnvoll einen Soll-Zustand zu definieren und einen Fragen-Katalog zu erstellen.
Der Ist Zustand beschreibt welche Server- / Client-Hardware ihr habt, welche Betriebssysteme im Einsatz sind, wie sich User an den Rechnern anmelden müssen, welche Software (Office, Virenscanner,...) genutzt wird, usw.
Oder Vereinfacht ausgedrückt, Eure komplette Infrastruktur ( Hardware, Software und Netzwerk )
In dem Soll-Zustand würde ich auf jeden Fall die folgenden Dinge mit aufnehmen:
Domain-Controller, Active Directory, WSUS, Virenscanner, Backup, Firewall, Software-Verteilung
Der Fragen Katalog sollte alle Fragen enthalten die Euch zu diesem Thema einfallen. Dazu gehören auch Fragen zu den Kosten bei Anschaffung, Wartung und eventueller Pflege durch externe Dienstleister.
Wenn man dann diese drei Dinge hat, wendet man sich an mehrere Systemhäuser und läßt diese das ganze sichten und den Fragen-Katalog beantworten und eventuell sogar noch ein Angebot erstellen. Alles weitere ist liegt dann an Euch und dem von Euch bevorzugtem Systemhaus.
Und zu guter Letzt, das wichtigste, bezieht von Anfang an die Leute mit ein, welche zum Schluß entscheiden, ob das ganze umgesetzt wird oder nicht.
Grüße
DevTig
da die Firma noch "relativ" Überschaubar ist. Solltet Ihr so früh wie möglich anfangen eine klare Server / Client Struktur aufzubauen.
Wenn ihr ein Systemhaus an der Hand habt, wendet Euch an dieses und besprecht mit diesem was ihr Euch vorstellt, bzw, haben möchtet.
Ansonsten solltet ihr/Du mal den Ist-Zustand dokumentieren. Danach ist es Sinnvoll einen Soll-Zustand zu definieren und einen Fragen-Katalog zu erstellen.
Der Ist Zustand beschreibt welche Server- / Client-Hardware ihr habt, welche Betriebssysteme im Einsatz sind, wie sich User an den Rechnern anmelden müssen, welche Software (Office, Virenscanner,...) genutzt wird, usw.
Oder Vereinfacht ausgedrückt, Eure komplette Infrastruktur ( Hardware, Software und Netzwerk )
In dem Soll-Zustand würde ich auf jeden Fall die folgenden Dinge mit aufnehmen:
Domain-Controller, Active Directory, WSUS, Virenscanner, Backup, Firewall, Software-Verteilung
Der Fragen Katalog sollte alle Fragen enthalten die Euch zu diesem Thema einfallen. Dazu gehören auch Fragen zu den Kosten bei Anschaffung, Wartung und eventueller Pflege durch externe Dienstleister.
Wenn man dann diese drei Dinge hat, wendet man sich an mehrere Systemhäuser und läßt diese das ganze sichten und den Fragen-Katalog beantworten und eventuell sogar noch ein Angebot erstellen. Alles weitere ist liegt dann an Euch und dem von Euch bevorzugtem Systemhaus.
Und zu guter Letzt, das wichtigste, bezieht von Anfang an die Leute mit ein, welche zum Schluß entscheiden, ob das ganze umgesetzt wird oder nicht.
Grüße
DevTig
Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man ohne Autologoin auskommt, alles andere ist Murks.
GPO: siehe oben: Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben" innerhalb der Computerkonfig - Sicherheitseinstellungen
GPO: siehe oben: Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben" innerhalb der Computerkonfig - Sicherheitseinstellungen