7
Win AD - ist die Liste der Rechner, die sich anmelden dürfen, beschränkbar ?
Hallo an alle
Folgendes Szenario :
Wir haben eine funktionierendes Netzwerk, alles unter Windows. Aber : Was ist, wenn jemand in unserem Gebäude sein eigenes Notebook an eine freie Dose ankabelt.
Wie kann ich verhindern, dass sich überhaupt irgendeine Form der Anmeldung durch dieses (unbekannte) Gerät machen lässt ? Also weder Browsen nach Shares, Durchsuchen des AD, geschweige denn Anmeldung irgendeines Users (auch nicht eines im AD bekannten Users?
Wir verwenden DHCP
Der AD - Server ist Win2K
Hat jemand so was schon mal umgesetzt ? Vielleicht sogar mit Bordmitteln ?
Wir haben eine funktionierendes Netzwerk, alles unter Windows. Aber : Was ist, wenn jemand in unserem Gebäude sein eigenes Notebook an eine freie Dose ankabelt.
Wie kann ich verhindern, dass sich überhaupt irgendeine Form der Anmeldung durch dieses (unbekannte) Gerät machen lässt ? Also weder Browsen nach Shares, Durchsuchen des AD, geschweige denn Anmeldung irgendeines Users (auch nicht eines im AD bekannten Users?
Wir verwenden DHCP
Der AD - Server ist Win2K
Hat jemand so was schon mal umgesetzt ? Vielleicht sogar mit Bordmitteln ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172375
Url: https://administrator.de/contentid/172375
Printed on: April 19, 2024 at 07:04 o'clock
7 Comments
Latest comment
Moin,
dsa bekommst du nur mit dem Standard 802.1x (siehe http://de.wikipedia.org/wiki/IEEE_802.1X ) hin. D.h. der Client authentifiziert sich am Switch, erst wenn er erfolgreich authentifiziert ist bekommt er Zugang zum Netz - das muss natuerlich der Switch und der Client unterstützen.
lg,
Slainte
dsa bekommst du nur mit dem Standard 802.1x (siehe http://de.wikipedia.org/wiki/IEEE_802.1X ) hin. D.h. der Client authentifiziert sich am Switch, erst wenn er erfolgreich authentifiziert ist bekommt er Zugang zum Netz - das muss natuerlich der Switch und der Client unterstützen.
lg,
Slainte
Hallo,
ein paar erste Schritte könnten sein:
- Reservierungen im DHCP verwenden und nur an Reservierungen IP-Adressen vergeben (so behalte ich die Vorteile von DHCP, Vergabe ist aber eingeschränkt)
- in den Eigenschaften der Benutzerkonten im AD das Feld "Anmelden an" nutzen und Benutzern nur die Anmeldung an ihren eigenen PCs bzw. ggf. Terminalserver oder ähnlichem ermöglichen
- alle Freigaben im Netz bzgl. Berechtigungen prüfen / keine Freigaben mit Freigabe- oder NTFS-Rechten für Jeder usw.
- erste einfacher Schritt um physikalische Sicherheit zu erhöhen wäre z.B. dass nur tatsächlich benutzte Dosen gepatcht sind
- mit Windows 2008 kommt NAP die z.B. ermöglicht dass nur Clients mit Virenscanner xyz oder Registrykey xyz sich am Netzwerk anmelden dürfen / oder es lassen sich MAC-Adressen freischalten usw. usw..
Das sind so die ersten Dinge die mir einfallen... gibt bestimmt noch vieles mehr...
Gruß aus dem Badischen
Patrick
ein paar erste Schritte könnten sein:
- Reservierungen im DHCP verwenden und nur an Reservierungen IP-Adressen vergeben (so behalte ich die Vorteile von DHCP, Vergabe ist aber eingeschränkt)
- in den Eigenschaften der Benutzerkonten im AD das Feld "Anmelden an" nutzen und Benutzern nur die Anmeldung an ihren eigenen PCs bzw. ggf. Terminalserver oder ähnlichem ermöglichen
- alle Freigaben im Netz bzgl. Berechtigungen prüfen / keine Freigaben mit Freigabe- oder NTFS-Rechten für Jeder usw.
- erste einfacher Schritt um physikalische Sicherheit zu erhöhen wäre z.B. dass nur tatsächlich benutzte Dosen gepatcht sind
- mit Windows 2008 kommt NAP die z.B. ermöglicht dass nur Clients mit Virenscanner xyz oder Registrykey xyz sich am Netzwerk anmelden dürfen / oder es lassen sich MAC-Adressen freischalten usw. usw..
Das sind so die ersten Dinge die mir einfallen... gibt bestimmt noch vieles mehr...
Gruß aus dem Badischen
Patrick
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
Die einzige Lösung heißt nach wie vor: Domain Isolation mit IPSec und Zertifikaten.
Übrigens: Standardmäßig kann jeder Benutzer neue Rechner zu AD hinzufügen.
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
Die einzige Lösung heißt nach wie vor: Domain Isolation mit IPSec und Zertifikaten.
Übrigens: Standardmäßig kann jeder Benutzer neue Rechner zu AD hinzufügen.
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
Das musst Du mir bitte mal genauer erklären.802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
802.1x läuft nur genau einmal ab, nämlich wenn der Port seinen Status ändert (und evtl. nach einem definierten Zeitintervall).
Es reicht also schon einen Switch zwischen einen legalen Rechner zu stecken, den sich anmelden zu lassen, dann die MAC-ID und IP auf den eigenen zu kopieren und den anderen abzustecken.
Wenn man es noch weiter treiben wollte könnte man auch einen Router benutzen und immer nur den 802.1x-Traffic an den legalen PC weiterleiten und alles andere an den eigenen.
Es reicht also schon einen Switch zwischen einen legalen Rechner zu stecken, den sich anmelden zu lassen, dann die MAC-ID und IP auf den eigenen zu kopieren und den anderen abzustecken.
Wenn man es noch weiter treiben wollte könnte man auch einen Router benutzen und immer nur den 802.1x-Traffic an den legalen PC weiterleiten und alles andere an den eigenen.
@dog
Hm, so hab ich das noch gar nicht betrachtet (v.A. das mit dem Router ist eigentl. eine klasse Idee
Ok, wieder was gelernt)
Man kannsich aber auch gleich eine NAC Lösung die auf Hardware basiert holen (Enterasys, CISCO) - aber das kommt letztendlich auf das Sicherheiutsbedürfnis (und das Budget) des TEs an.
Hm, so hab ich das noch gar nicht betrachtet (v.A. das mit dem Router ist eigentl. eine klasse Idee
Ok, wieder was gelernt)Man kannsich aber auch gleich eine NAC Lösung die auf Hardware basiert holen (Enterasys, CISCO) - aber das kommt letztendlich auf das Sicherheiutsbedürfnis (und das Budget) des TEs an.
Moin.
Du könntest genauer beschreiben, was eigentlich das Problem ist. Was gilt es denn zu schützen?
Wenn jemand mit einem fremden Rechner ankommt, dann befürchtest Du, dass... ? Hat dieser "jemand" auch Kenntnis eines Domänenkontos+Kennworts?
Hol das nach.
Wenn Du, wie von Unzhurst beschrieben, die Anmeldeberechtigungen beschneiden kannst und willst, kann von fremden Rechnern aus keine Anmeldung (und damit auch keine Nutzung von Freigaben oder Durchsuchen des ADs) stattfinden. Selbstverständlich ist weiterhin eine Ausbreitung von Netzwerkwürmern möglich, falls keine Maßnahmen (Patching und/oder Firewalls) getroffen werden.
Du könntest genauer beschreiben, was eigentlich das Problem ist. Was gilt es denn zu schützen?
Wenn jemand mit einem fremden Rechner ankommt, dann befürchtest Du, dass... ? Hat dieser "jemand" auch Kenntnis eines Domänenkontos+Kennworts?
Hol das nach.
Wenn Du, wie von Unzhurst beschrieben, die Anmeldeberechtigungen beschneiden kannst und willst, kann von fremden Rechnern aus keine Anmeldung (und damit auch keine Nutzung von Freigaben oder Durchsuchen des ADs) stattfinden. Selbstverständlich ist weiterhin eine Ausbreitung von Netzwerkwürmern möglich, falls keine Maßnahmen (Patching und/oder Firewalls) getroffen werden.
