Win AD - ist die Liste der Rechner, die sich anmelden dürfen, beschränkbar ?

Hallo an alle

Folgendes Szenario :

Wir haben eine funktionierendes Netzwerk, alles unter Windows. Aber : Was ist, wenn jemand in unserem Gebäude sein eigenes Notebook an eine freie Dose ankabelt.
Wie kann ich verhindern, dass sich überhaupt irgendeine Form der Anmeldung durch dieses (unbekannte) Gerät machen lässt ? Also weder Browsen nach Shares, Durchsuchen des AD, geschweige denn Anmeldung irgendeines Users (auch nicht eines im AD bekannten Users?

Wir verwenden DHCP
Der AD - Server ist Win2K

Hat jemand so was schon mal umgesetzt ? Vielleicht sogar mit Bordmitteln ?

Content-Key: 172375

Url: https://administrator.de/contentid/172375

Ausgedruckt am: 27.01.2022 um 21:01 Uhr

Mitglied: SlainteMhath
SlainteMhath 31.08.2011 um 15:21:42 Uhr
Goto Top
Moin,

dsa bekommst du nur mit dem Standard 802.1x (siehe http://de.wikipedia.org/wiki/IEEE_802.1X ) hin. D.h. der Client authentifiziert sich am Switch, erst wenn er erfolgreich authentifiziert ist bekommt er Zugang zum Netz - das muss natuerlich der Switch und der Client unterstützen.

lg,
Slainte
Mitglied: unzhurst
unzhurst 31.08.2011 um 15:26:32 Uhr
Goto Top
Hallo,

ein paar erste Schritte könnten sein:
- Reservierungen im DHCP verwenden und nur an Reservierungen IP-Adressen vergeben (so behalte ich die Vorteile von DHCP, Vergabe ist aber eingeschränkt)
- in den Eigenschaften der Benutzerkonten im AD das Feld "Anmelden an" nutzen und Benutzern nur die Anmeldung an ihren eigenen PCs bzw. ggf. Terminalserver oder ähnlichem ermöglichen
- alle Freigaben im Netz bzgl. Berechtigungen prüfen / keine Freigaben mit Freigabe- oder NTFS-Rechten für Jeder usw.
- erste einfacher Schritt um physikalische Sicherheit zu erhöhen wäre z.B. dass nur tatsächlich benutzte Dosen gepatcht sind
- mit Windows 2008 kommt NAP die z.B. ermöglicht dass nur Clients mit Virenscanner xyz oder Registrykey xyz sich am Netzwerk anmelden dürfen / oder es lassen sich MAC-Adressen freischalten usw. usw..
Das sind so die ersten Dinge die mir einfallen... gibt bestimmt noch vieles mehr...

Gruß aus dem Badischen
Patrick
Mitglied: dog
dog 01.09.2011 um 00:56:54 Uhr
Goto Top
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.

Die einzige Lösung heißt nach wie vor: Domain Isolation mit IPSec und Zertifikaten.

Übrigens: Standardmäßig kann jeder Benutzer neue Rechner zu AD hinzufügen.
Mitglied: SlainteMhath
SlainteMhath 01.09.2011 um 08:08:03 Uhr
Goto Top
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
Das musst Du mir bitte mal genauer erklären.
Mitglied: dog
dog 01.09.2011 um 09:10:01 Uhr
Goto Top
802.1x läuft nur genau einmal ab, nämlich wenn der Port seinen Status ändert (und evtl. nach einem definierten Zeitintervall).
Es reicht also schon einen Switch zwischen einen legalen Rechner zu stecken, den sich anmelden zu lassen, dann die MAC-ID und IP auf den eigenen zu kopieren und den anderen abzustecken.
Wenn man es noch weiter treiben wollte könnte man auch einen Router benutzen und immer nur den 802.1x-Traffic an den legalen PC weiterleiten und alles andere an den eigenen.
Mitglied: SlainteMhath
SlainteMhath 01.09.2011 um 09:30:15 Uhr
Goto Top
@dog
Hm, so hab ich das noch gar nicht betrachtet (v.A. das mit dem Router ist eigentl. eine klasse Idee :) face-smile Ok, wieder was gelernt)
Man kannsich aber auch gleich eine NAC Lösung die auf Hardware basiert holen (Enterasys, CISCO) - aber das kommt letztendlich auf das Sicherheiutsbedürfnis (und das Budget) des TEs an.
Mitglied: DerWoWusste
DerWoWusste 01.09.2011 um 17:55:24 Uhr
Goto Top
Moin.
Du könntest genauer beschreiben, was eigentlich das Problem ist. Was gilt es denn zu schützen?
Wenn jemand mit einem fremden Rechner ankommt, dann befürchtest Du, dass... ? Hat dieser "jemand" auch Kenntnis eines Domänenkontos+Kennworts?
Hol das nach.

Wenn Du, wie von Unzhurst beschrieben, die Anmeldeberechtigungen beschneiden kannst und willst, kann von fremden Rechnern aus keine Anmeldung (und damit auch keine Nutzung von Freigaben oder Durchsuchen des ADs) stattfinden. Selbstverständlich ist weiterhin eine Ausbreitung von Netzwerkwürmern möglich, falls keine Maßnahmen (Patching und/oder Firewalls) getroffen werden.
Heiß diskutierte Beiträge
question
Marode Netzwerk-Infrastruktur im kleinen Unternehmen - wo anfangen?StephanXVor 1 TagFrageNetzwerkmanagement48 Kommentare

Guten Abend zusammen, es geht um einen kleinen Betrieb (Kfz-Werkstatt) mit einer recht wirren und planlosen Netzwerkstruktur und Datensicherung, welche ich so langsam mal richten ...

general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic32 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 20 StundenAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Vorkehrungen für einen StromausfallahussainVor 10 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 9 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...