Win AD - ist die Liste der Rechner, die sich anmelden dürfen, beschränkbar ?

Mitglied: frankball

frankball (Level 1) - Jetzt verbinden

31.08.2011 um 15:16 Uhr, 2653 Aufrufe, 7 Kommentare

Hallo an alle

Folgendes Szenario :

Wir haben eine funktionierendes Netzwerk, alles unter Windows. Aber : Was ist, wenn jemand in unserem Gebäude sein eigenes Notebook an eine freie Dose ankabelt.
Wie kann ich verhindern, dass sich überhaupt irgendeine Form der Anmeldung durch dieses (unbekannte) Gerät machen lässt ? Also weder Browsen nach Shares, Durchsuchen des AD, geschweige denn Anmeldung irgendeines Users (auch nicht eines im AD bekannten Users?

Wir verwenden DHCP
Der AD - Server ist Win2K

Hat jemand so was schon mal umgesetzt ? Vielleicht sogar mit Bordmitteln ?
Mitglied: SlainteMhath
31.08.2011 um 15:21 Uhr
Moin,

dsa bekommst du nur mit dem Standard 802.1x (siehe http://de.wikipedia.org/wiki/IEEE_802.1X ) hin. D.h. der Client authentifiziert sich am Switch, erst wenn er erfolgreich authentifiziert ist bekommt er Zugang zum Netz - das muss natuerlich der Switch und der Client unterstützen.

lg,
Slainte
Bitte warten ..
Mitglied: unzhurst
31.08.2011 um 15:26 Uhr
Hallo,

ein paar erste Schritte könnten sein:
- Reservierungen im DHCP verwenden und nur an Reservierungen IP-Adressen vergeben (so behalte ich die Vorteile von DHCP, Vergabe ist aber eingeschränkt)
- in den Eigenschaften der Benutzerkonten im AD das Feld "Anmelden an" nutzen und Benutzern nur die Anmeldung an ihren eigenen PCs bzw. ggf. Terminalserver oder ähnlichem ermöglichen
- alle Freigaben im Netz bzgl. Berechtigungen prüfen / keine Freigaben mit Freigabe- oder NTFS-Rechten für Jeder usw.
- erste einfacher Schritt um physikalische Sicherheit zu erhöhen wäre z.B. dass nur tatsächlich benutzte Dosen gepatcht sind
- mit Windows 2008 kommt NAP die z.B. ermöglicht dass nur Clients mit Virenscanner xyz oder Registrykey xyz sich am Netzwerk anmelden dürfen / oder es lassen sich MAC-Adressen freischalten usw. usw..
Das sind so die ersten Dinge die mir einfallen... gibt bestimmt noch vieles mehr...

Gruß aus dem Badischen
Patrick
Bitte warten ..
Mitglied: dog
01.09.2011 um 00:56 Uhr
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.

Die einzige Lösung heißt nach wie vor: Domain Isolation mit IPSec und Zertifikaten.

Übrigens: Standardmäßig kann jeder Benutzer neue Rechner zu AD hinzufügen.
Bitte warten ..
Mitglied: SlainteMhath
01.09.2011 um 08:08 Uhr
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
Das musst Du mir bitte mal genauer erklären.
Bitte warten ..
Mitglied: dog
01.09.2011 um 09:10 Uhr
802.1x läuft nur genau einmal ab, nämlich wenn der Port seinen Status ändert (und evtl. nach einem definierten Zeitintervall).
Es reicht also schon einen Switch zwischen einen legalen Rechner zu stecken, den sich anmelden zu lassen, dann die MAC-ID und IP auf den eigenen zu kopieren und den anderen abzustecken.
Wenn man es noch weiter treiben wollte könnte man auch einen Router benutzen und immer nur den 802.1x-Traffic an den legalen PC weiterleiten und alles andere an den eigenen.
Bitte warten ..
Mitglied: SlainteMhath
01.09.2011 um 09:30 Uhr
@dog
Hm, so hab ich das noch gar nicht betrachtet (v.A. das mit dem Router ist eigentl. eine klasse Idee :) face-smile Ok, wieder was gelernt)
Man kannsich aber auch gleich eine NAC Lösung die auf Hardware basiert holen (Enterasys, CISCO) - aber das kommt letztendlich auf das Sicherheiutsbedürfnis (und das Budget) des TEs an.
Bitte warten ..
Mitglied: DerWoWusste
01.09.2011 um 17:55 Uhr
Moin.
Du könntest genauer beschreiben, was eigentlich das Problem ist. Was gilt es denn zu schützen?
Wenn jemand mit einem fremden Rechner ankommt, dann befürchtest Du, dass... ? Hat dieser "jemand" auch Kenntnis eines Domänenkontos+Kennworts?
Hol das nach.

Wenn Du, wie von Unzhurst beschrieben, die Anmeldeberechtigungen beschneiden kannst und willst, kann von fremden Rechnern aus keine Anmeldung (und damit auch keine Nutzung von Freigaben oder Durchsuchen des ADs) stattfinden. Selbstverständlich ist weiterhin eine Ausbreitung von Netzwerkwürmern möglich, falls keine Maßnahmen (Patching und/oder Firewalls) getroffen werden.
Bitte warten ..
Heiß diskutierte Inhalte
Zusammenarbeit
Klimaschutz
NebellichtVor 1 TagTippZusammenarbeit51 Kommentare

Hallo friends, (friends in Anlehnung an die vielen Fs in dem englischen von FFF: fridays for future. Übrigens am 19.03.2021 gibts wieder einen globalen ...

Notebook & Zubehör
Tipp für festgefressene Scharniere bei Lenovo V120 Notebook?
gelöst LochkartenstanzerVor 1 TagFrageNotebook & Zubehör20 Kommentare

Moin Kollegen, Ich habe hier ein Lenovo V120 mit einem laut Internet üblichen Problem von "festgefressenen" Scharnieren. Ich könnte jetzt aufwendig das Notebook zerlegen ...

Microsoft Office
Microsoft365 und Outlook verbinden
ratzekahl1Vor 1 TagFrageMicrosoft Office31 Kommentare

Guten Morgen zusammen, ich habe einige Probleme / Fragen. Ich habe Office 365 auf den ersten Rechnern installiert. Admin angelegt, Benutzer usw. Da ich ...

Microsoft Office
Wechsel von Office - Exchange on premise zu Office 365 - Exchange Online
jann0rVor 1 TagAllgemeinMicrosoft Office14 Kommentare

Moin, ich weiß nicht so richtig, unter welche Überschrift man dieses Thema hier am besten packen kann, daher mal als allg. Beitrag / Erfahrungsbericht. ...

Viren und Trojaner
Ryuk Ransomware Warnzeichen
SchlemihlVor 1 TagFrageViren und Trojaner8 Kommentare

Guten Abend, nachdem ich hier und hier erfahren habe, wie sich die Ransomware Ryuk verhält, musste ich feststellen, dass unser kleines Netzwerk für eine ...

Internet
Sichere Verbindung von zu Hause zu einem Firmenpc
haiflosseVor 1 TagFrageInternet6 Kommentare

Hallo! Ich suche eine Lösung mit der ich eine sichere Verbindung (ohne das ein Virus, Trojaner oder Ransom Virus den Computer bzw. Netzwerk zerstört) ...

Hyper-V
ESXi free oder Windows Hyper-V Server 2019
lukas0209Vor 14 StundenAllgemeinHyper-V12 Kommentare

Hallo, ich brauche ca. 2 oder 3 Windows 10 virtualisiert um Dinge zu testen. Ist es dafür sinnvoller ein Windows Hyper-V Server 2019 (kostenlos) ...

Firewall
Firewall Regeln Ping
gelöst Jannik2018Vor 1 TagFrageFirewall9 Kommentare

Hallo zusammen, ich habe folgende firewallregel erstellt aber irgendwie kann ich aus dem Roten Netz keine Pings ins Grüne Netz schicken ist dort etwas ...