frankball
Goto Top

Win AD - ist die Liste der Rechner, die sich anmelden dürfen, beschränkbar ?

Hallo an alle

Folgendes Szenario :

Wir haben eine funktionierendes Netzwerk, alles unter Windows. Aber : Was ist, wenn jemand in unserem Gebäude sein eigenes Notebook an eine freie Dose ankabelt.
Wie kann ich verhindern, dass sich überhaupt irgendeine Form der Anmeldung durch dieses (unbekannte) Gerät machen lässt ? Also weder Browsen nach Shares, Durchsuchen des AD, geschweige denn Anmeldung irgendeines Users (auch nicht eines im AD bekannten Users?

Wir verwenden DHCP
Der AD - Server ist Win2K

Hat jemand so was schon mal umgesetzt ? Vielleicht sogar mit Bordmitteln ?

Content-ID: 172375

Url: https://administrator.de/forum/win-ad-ist-die-liste-der-rechner-die-sich-anmelden-duerfen-beschraenkbar-172375.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

SlainteMhath
SlainteMhath 31.08.2011 um 15:21:42 Uhr
Goto Top
Moin,

dsa bekommst du nur mit dem Standard 802.1x (siehe http://de.wikipedia.org/wiki/IEEE_802.1X ) hin. D.h. der Client authentifiziert sich am Switch, erst wenn er erfolgreich authentifiziert ist bekommt er Zugang zum Netz - das muss natuerlich der Switch und der Client unterstützen.

lg,
Slainte
unzhurst
unzhurst 31.08.2011 um 15:26:32 Uhr
Goto Top
Hallo,

ein paar erste Schritte könnten sein:
- Reservierungen im DHCP verwenden und nur an Reservierungen IP-Adressen vergeben (so behalte ich die Vorteile von DHCP, Vergabe ist aber eingeschränkt)
- in den Eigenschaften der Benutzerkonten im AD das Feld "Anmelden an" nutzen und Benutzern nur die Anmeldung an ihren eigenen PCs bzw. ggf. Terminalserver oder ähnlichem ermöglichen
- alle Freigaben im Netz bzgl. Berechtigungen prüfen / keine Freigaben mit Freigabe- oder NTFS-Rechten für Jeder usw.
- erste einfacher Schritt um physikalische Sicherheit zu erhöhen wäre z.B. dass nur tatsächlich benutzte Dosen gepatcht sind
- mit Windows 2008 kommt NAP die z.B. ermöglicht dass nur Clients mit Virenscanner xyz oder Registrykey xyz sich am Netzwerk anmelden dürfen / oder es lassen sich MAC-Adressen freischalten usw. usw..
Das sind so die ersten Dinge die mir einfallen... gibt bestimmt noch vieles mehr...

Gruß aus dem Badischen
Patrick
dog
dog 01.09.2011 um 00:56:54 Uhr
Goto Top
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.

Die einzige Lösung heißt nach wie vor: Domain Isolation mit IPSec und Zertifikaten.

Übrigens: Standardmäßig kann jeder Benutzer neue Rechner zu AD hinzufügen.
SlainteMhath
SlainteMhath 01.09.2011 um 08:08:03 Uhr
Goto Top
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
Das musst Du mir bitte mal genauer erklären.
dog
dog 01.09.2011 um 09:10:01 Uhr
Goto Top
802.1x läuft nur genau einmal ab, nämlich wenn der Port seinen Status ändert (und evtl. nach einem definierten Zeitintervall).
Es reicht also schon einen Switch zwischen einen legalen Rechner zu stecken, den sich anmelden zu lassen, dann die MAC-ID und IP auf den eigenen zu kopieren und den anderen abzustecken.
Wenn man es noch weiter treiben wollte könnte man auch einen Router benutzen und immer nur den 802.1x-Traffic an den legalen PC weiterleiten und alles andere an den eigenen.
SlainteMhath
SlainteMhath 01.09.2011 um 09:30:15 Uhr
Goto Top
@dog
Hm, so hab ich das noch gar nicht betrachtet (v.A. das mit dem Router ist eigentl. eine klasse Idee face-smile Ok, wieder was gelernt)
Man kannsich aber auch gleich eine NAC Lösung die auf Hardware basiert holen (Enterasys, CISCO) - aber das kommt letztendlich auf das Sicherheiutsbedürfnis (und das Budget) des TEs an.
DerWoWusste
DerWoWusste 01.09.2011 um 17:55:24 Uhr
Goto Top
Moin.
Du könntest genauer beschreiben, was eigentlich das Problem ist. Was gilt es denn zu schützen?
Wenn jemand mit einem fremden Rechner ankommt, dann befürchtest Du, dass... ? Hat dieser "jemand" auch Kenntnis eines Domänenkontos+Kennworts?
Hol das nach.

Wenn Du, wie von Unzhurst beschrieben, die Anmeldeberechtigungen beschneiden kannst und willst, kann von fremden Rechnern aus keine Anmeldung (und damit auch keine Nutzung von Freigaben oder Durchsuchen des ADs) stattfinden. Selbstverständlich ist weiterhin eine Ausbreitung von Netzwerkwürmern möglich, falls keine Maßnahmen (Patching und/oder Firewalls) getroffen werden.