Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

VPN-Zugriff aufs Firmennetz

Mitglied: Flo985
Hallo zusammen,
habe folgendes Problem.

Ich habe bei uns in der Firma für unseren Chef einen VPN-Zugang eingerichtet. Er kann dann per Wake-On-Lan seinen Rechner starten und sich auf diesen verbinden und abreiten. Hat also normale Rechte wie sonst auch.

Nun möchte er, das ich dies für andere User auch mache. Er gibt mir vor, für wen dies erstellt werden soll.

Nun liegt mein Problem in folgendem:
Ich habe ein sehr ungutes Gefühl wenn so viele Mitarbeiter (12) Zugriff auf unser Netz haben. Vor allem auf das ERP-System, weil die Rechte haben alle User in der Firma, darauf zuzugreifen. Nur weiß man ja nicht, was von zu Hause alles für Schund getrieben wird.
Nun habe ich mir überlegt einen Terminalserver aufzusetzen, allen "VPN-Benutzer" anzulegen, dieser User hat dann komplett eingeschränkte Rechte auf unser ERP-System und nur Lese-Berechtigung auf unsere Daten, die am Fileserver liegen.

Was meint ihr? Wie habt ihr das bei euch in den Betrieben geregelt?

Content-Key: 100696

Url: https://administrator.de/contentid/100696

Ausgedruckt am: 27.11.2021 um 07:11 Uhr

Mitglied: Arch-Stanton
Arch-Stanton 31.10.2008 um 10:17:12 Uhr
Goto Top
Terminalserver ist ja schon mal eine gute Entscheidung. Aber warum möchtest Du entscheiden, ob der User welchen Zugriff der User auf das Softwaresystem hat? Wenn der Chef es will, solltest Du es vielleicht befolgen. Sinnvoll wäre auch die Protokolle des Terminalservers ab und zu zu sichern, so hast Du einen Nachweis, wann sich der einzelne User eingeloggt hat (gilt auch für den VPN-Server).

Ich hoffe, Ihr habt ein vernünftiges Hardware- VPN-Gateway.

Gruß, Arch Stanton
Mitglied: Globetrotter
Globetrotter 31.10.2008 um 10:22:32 Uhr
Goto Top
Hallo Flo,

ich rate Dir ebenfalls zu einem Terminalserver und einem VPN-Router (Ich benutze Draytek). Somit kannst Du einigermassen sicher sein, dass Eure Mitarbeiter nicht all zu groben Unfug treiben können und der Terminalserver nicht durch die M$-VPN-Dienste ausgebremst wird. Der ganze Spass wird aber recht teuer, da Du extra TS-Cal's benötigst. Soll der Terminalserver dann auch sonst noch im Netz als Fileserver etc stehen benötigst Du weiter User bzw. Device-Cals.

Mit solch einer Lösung bist Du aber auf jedenfall auf der sicheren Seite. Rumbasteln wird nämlich sehr schnell bestraft ;)

Gruss Matze
Mitglied: Driver401
Driver401 31.10.2008 um 10:25:34 Uhr
Goto Top
Zitat von @Arch-Stanton:
Wenn der Chef es will, solltest Du es
vielleicht befolgen. Sinnvoll wäre auch die Protokolle des
Terminalservers ab und zu zu sichern, so hast Du einen Nachweis, wann
sich der einzelne User eingeloggt hat (gilt auch für den
VPN-Server).

Sehe ich auch so. Wenn ich was machen MUSS, was bei mir Sicherheitsbedenken auslöst, formuliere ich das schriftlich an den Chef, dann bin ich so schonmal auf der sicheren Seite, wenn dann doch was ist ("Ja warum haben sie denn nicht deutlich gesagt, was da passieren kann...."
Rechte einschränken ist natürlich eine schönere Lösung, keine Frage - aber wenn sie die Rechte ja vielleicht brauchen um arbeiten zu können?

Zusätzlich würde ich noch Sicherheitsrichtlinien ausarbeiten und von den VPN-Teilnehmern unterschreiben lassen, damit auch die dann nciht sagen können "aber das hat uns ja keiner gesagt..."
Wir kennen doch unsere Spezial-User ;-) face-wink

Gruß
Jürgen
Mitglied: cykes
cykes 31.10.2008 um 11:31:30 Uhr
Goto Top
Hallo Flo,

ich würde zunächst einmal mit Deinem Chef sprechen, denn was er praktisch findet, muß ja nicht zwangsweise praktisch für die anderen Mitarbeiter sein.

Es gilt zunächst die Frage zu klären, wird überhaupt von den 12 Mitarbeiter von zu Hause aus gearbeitet, so dass sie den Zugriff auf das Firmennetz benötigen.
Ich würde auch ganz klar die Sicherheitbedenken äußern, auch mit nur Leseberechtigung kann man Daten entwenden. Danach ist die bereits erwähnte Kostenfrage für Terminalserverlizenzen, ein eventuell anzuschaffendes VPN Gateway zu klären und eventuell noch einen 2. Server für die Terminaldienste. Des weiteren wäre noch zu klären, ob die auf dem Terminalserver zugängliche Software terminalserverfähig ist und ob dies nicht noch weitere Lizenzkosten aufwirft.

Gruß

cykes
Mitglied: Flo985
Flo985 31.10.2008 um 12:08:38 Uhr
Goto Top
Hi, erstmal vielen Dank für eure antworten.
Ja, gescheite Hardware habe ich da...

Werde mich mal dran setzen, was ausarbeiten und es dann dem chef geben, mal sehen wohin das führt...
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server10 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 20 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 14 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...