10
Zugang zu Domäne für Rechner außerhalb der eigenen Kontrolle
Moin,
ich knobel da an einem Problem herum und drehe mich gerade etwas im Kreis.
Die Aufgabenstellung ist folgende: Personen die einen "privaten" Rechner haben (Volle Adminrechte, Unbekannt ob ein Virenscanner drauf ist,...) lesenden und schreibenden Zugang zu Netzwerkfreigaben der Domäne zu geben. Ziel ist das sie Dateien gleichzeitig wie interne Mitarbeiter bearbeiten können.
Generell kann ich mich damit überhaupt nicht anfreunden und suche jetzt eine Lösung wie man das möglichst sicher umsetzen kann.
Zur Zeit habe ich es jedoch nur geschafft jegliche Ansatz wieder zu verwerfen.
Das einzige was irgendwie halbwegs zu passen scheint ist ein Terminal Server. (Wobei hier es auch wieder kompliziert wird Dateien vom eigenen PC (sicher) auf die Freigaben zu bringen.)
Es wäre echt toll wenn jemand ein Ansatz hätte wie man dies lösen könnte ohne direkt jede Menge Sicherheitsrisiken zu haben.
Mit freundlichen Grüßen
Askahain
ich knobel da an einem Problem herum und drehe mich gerade etwas im Kreis.
Die Aufgabenstellung ist folgende: Personen die einen "privaten" Rechner haben (Volle Adminrechte, Unbekannt ob ein Virenscanner drauf ist,...) lesenden und schreibenden Zugang zu Netzwerkfreigaben der Domäne zu geben. Ziel ist das sie Dateien gleichzeitig wie interne Mitarbeiter bearbeiten können.
Generell kann ich mich damit überhaupt nicht anfreunden und suche jetzt eine Lösung wie man das möglichst sicher umsetzen kann.
Zur Zeit habe ich es jedoch nur geschafft jegliche Ansatz wieder zu verwerfen.
Das einzige was irgendwie halbwegs zu passen scheint ist ein Terminal Server. (Wobei hier es auch wieder kompliziert wird Dateien vom eigenen PC (sicher) auf die Freigaben zu bringen.)
Es wäre echt toll wenn jemand ein Ansatz hätte wie man dies lösen könnte ohne direkt jede Menge Sicherheitsrisiken zu haben.
Mit freundlichen Grüßen
Askahain
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 326585
Url: https://administrator.de/contentid/326585
Printed on: May 23, 2024 at 05:05 o'clock
10 Comments
Latest comment
Servus,
Sicherheit und gleichzeitig schreiben wie lesend Zugriff für Fremdhardware zu geben, schließt sich das nicht aus?
VG
Sicherheit und gleichzeitig schreiben wie lesend Zugriff für Fremdhardware zu geben, schließt sich das nicht aus?
VG
Genau das ist ja mein Problem 
Vielleicht einen "Zwischen"Server mit anderen Zugangsdaten zum Schreiben. Dieses ist nur ein Fileserver mit Virenscanner und schiebt bei positiver Prüfung die Daten weiter auf den "echten" Server. Lesender Zugriff geht ja auf das "echte" Netzlaufwerk.
Spontane Idee^^
Grüße
Ketanest
Spontane Idee^^
Grüße
Ketanest
Moin,
Gruß,
Dani
Das einzige was irgendwie halbwegs zu passen scheint ist ein Terminal Server.
Sehe ich auch so. (Wobei hier es auch wieder kompliziert wird Dateien vom eigenen PC (sicher) auf die Freigaben zu bringen.)
Warum müssten geschäftliche Daten überhaupt auf einem privaten Rechner abgelegt werden. Das verstößt je nachdem eigentlich gegen jede vernünftige Sicherheitsregeln. Wenn die Dateien ins Firmennetzwerk sollen, per E-Mail schicken.Gruß,
Dani
Hi,
ganz eindeutig: Terminalserver.
Was heißt "sicher" in ...?
Die PC kannst Du in ein separates Subnet verfrachten, von welchem man über eine Firewall nur auf den TS kommt. Filetransfer dann über RDP (oder ICA, falls Citrix).
Was Du auch bedenken musst: Dateien können ja auch vom Netzwerk auf den privaten PC kopiert werden. Ein anderer Aspekt von Datensicherheit.
Was auch noch möglich wäre: Up- und Download über FTP-Server. Und die Dateien werden erst dann weitergegeben (rein wie raus), wenn diese von einem internen Mitarbeiter explizit freigegeben worden sind. Kostet Manpower und Organisation. Aber Sicherheit kostet nun mal.
E.
ganz eindeutig: Terminalserver.
Was heißt "sicher" in ...?
Dateien vom eigenen PC (sicher) auf die Freigaben zu bringen
Viren & Co. erschlagen die Scanner auf den TS und den Fileservern.Die PC kannst Du in ein separates Subnet verfrachten, von welchem man über eine Firewall nur auf den TS kommt. Filetransfer dann über RDP (oder ICA, falls Citrix).
Was Du auch bedenken musst: Dateien können ja auch vom Netzwerk auf den privaten PC kopiert werden. Ein anderer Aspekt von Datensicherheit.
Was auch noch möglich wäre: Up- und Download über FTP-Server. Und die Dateien werden erst dann weitergegeben (rein wie raus), wenn diese von einem internen Mitarbeiter explizit freigegeben worden sind. Kostet Manpower und Organisation. Aber Sicherheit kostet nun mal.
E.
Moin
Sehe ich auch so...
Nehmt euch dem Thema Citrix an...
Jeder User erhält einen (eigenen) virtuellen Desktop oder eine Verbindung zu einem Terminalserver.
Er kann darauf arbeiten/ seine Arbeit erledigen und über die vorhandenen Unternehmensstruktur Daten austauschen.
Dabei ist es egal, ob er sein Laptop, ein Tablet oder einen ThinClient verwendet.
Er hat immer sien e Umgebung und die Daten sind gesichert.
Das HDX-Protokoll ist dabei so schlank, dass es selbst in weniger gut ausgebauten Internetregionen auskommt.
Und wenn Offline gearbeitet werden soll, dann nehmt ihr halt die gestreamten Anwendungen/ Desktops.
Er checkt "seinen" Firmen-Desktop aus, nimmt den also mit nach Hause, kann dort arbeiten und wenn er das nächste mal mit der Firma verbunden ist, findet ein kurzer abgleich statt...
https://www.citrix.de/products/xenapp-xendesktop/
Ich gebe allerdings zu, dass solch eine Lösung nicht für 2,50€ zu haben ist, da muss man schon mehr investieren....
Gruß
em-pie
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Das einzige was irgendwie halbwegs zu passen scheint ist ein Terminal Server.
Sehe ich auch so. (Wobei hier es auch wieder kompliziert wird Dateien vom eigenen PC (sicher) auf die Freigaben zu bringen.)
Warum müssten geschäftliche Daten überhaupt auf einem privaten Rechner abgelegt werden. Das verstößt je nachdem eigentlich gegen jede vernünftige Sicherheitsregeln. Wenn die Dateien ins Firmennetzwerk sollen, per E-Mail schicken.Gruß,
Dani
Sehe ich auch so...
Nehmt euch dem Thema Citrix an...
Jeder User erhält einen (eigenen) virtuellen Desktop oder eine Verbindung zu einem Terminalserver.
Er kann darauf arbeiten/ seine Arbeit erledigen und über die vorhandenen Unternehmensstruktur Daten austauschen.
Dabei ist es egal, ob er sein Laptop, ein Tablet oder einen ThinClient verwendet.
Er hat immer sien e Umgebung und die Daten sind gesichert.
Das HDX-Protokoll ist dabei so schlank, dass es selbst in weniger gut ausgebauten Internetregionen auskommt.
Und wenn Offline gearbeitet werden soll, dann nehmt ihr halt die gestreamten Anwendungen/ Desktops.
Er checkt "seinen" Firmen-Desktop aus, nimmt den also mit nach Hause, kann dort arbeiten und wenn er das nächste mal mit der Firma verbunden ist, findet ein kurzer abgleich statt...
https://www.citrix.de/products/xenapp-xendesktop/
Ich gebe allerdings zu, dass solch eine Lösung nicht für 2,50€ zu haben ist, da muss man schon mehr investieren....
Gruß
em-pie
Hallo,
Du hast ja gleich 2 Paradoxen.
1. Zugriff von unbekannten Rechner auf die IT.
Spielt gar keine Rolle auf was. Freigaben, Mail, Internet.
Gehe immer davon aus, dass entgegen der Aussagen der Benutzer, gestern Abend der Junior unbemerkt ein gecracktes Spiel runtergeladen und installiert hat und das Ding voll verseucht ist. Richtig gute böse Programme sind sehr schwer zu erkennen.
Solche Geräte kommen in ein eigenes VLAN und haben nur Zugriff auf einen TS.
Kein Internet und nix sonst.
Aber auch das kann zuwenig sein. Je nach Umgebung.
Ein Keylogger schreibt alle Kennwörter mit, kopiert die Zertifikate des VPN Clients und das VPN ist aus dem Internet erreichbar.
2. Dateien von unbekannten Rechner.
Ist genau das gleiche Problem. Gehe davon aus, dass jede Datei eines solchen Systems verseucht ist.
Bei einem Zero-Day-Exploit hilft auf kein Virenscanner.
Es eine Frage nach der Verhältnismäßigkeit.
Welche Mittel sind ok, welche zu teuer, welche behindern die Mitarbeiter und welche Schäden können entstehen.
Viele Grüße
Stefan
Du hast ja gleich 2 Paradoxen.
1. Zugriff von unbekannten Rechner auf die IT.
Spielt gar keine Rolle auf was. Freigaben, Mail, Internet.
Gehe immer davon aus, dass entgegen der Aussagen der Benutzer, gestern Abend der Junior unbemerkt ein gecracktes Spiel runtergeladen und installiert hat und das Ding voll verseucht ist. Richtig gute böse Programme sind sehr schwer zu erkennen.
Solche Geräte kommen in ein eigenes VLAN und haben nur Zugriff auf einen TS.
Kein Internet und nix sonst.
Aber auch das kann zuwenig sein. Je nach Umgebung.
Ein Keylogger schreibt alle Kennwörter mit, kopiert die Zertifikate des VPN Clients und das VPN ist aus dem Internet erreichbar.
2. Dateien von unbekannten Rechner.
Ist genau das gleiche Problem. Gehe davon aus, dass jede Datei eines solchen Systems verseucht ist.
Bei einem Zero-Day-Exploit hilft auf kein Virenscanner.
Es eine Frage nach der Verhältnismäßigkeit.
Welche Mittel sind ok, welche zu teuer, welche behindern die Mitarbeiter und welche Schäden können entstehen.
Viele Grüße
Stefan
Moin,
Gruß,
Dani
Ich gebe allerdings zu, dass solch eine Lösung nicht für 2,50€ zu haben ist, da muss man schon mehr investieren....
Man hänge noch 0000 an die genannte Zahl und verschiebe das Komma um zwei Stellen nach rechts.Gruß,
Dani
Hi.
Mal angenommen, Du setzt die Terminalserveridee um. Du findest also einen Weg, der Dir behagt, samt Einmalkennwörtern, damit die Keyloggergefahr zumindest um die Kennwörter sinkt. Eines Tages dann kommt heraus, dass Eure Ideen gestohlen wurden. Wer steht dafür gerade, Du etwa, oder wer möchte das verantworten?
Seit x Jahren gibt es Viren, die regelmäßig Screenshots machen und diese nach Hause funken. Dagegen schützt Dich kein TS-Konstrukt. Schon das bloße Darstellen auf dem Bildschirm eines Homerechners ist sehr kritisch zu sehen und deswegen sollte man sich zuerst die Frage stellen "wer verantwortet das?". Dass ein Keylogger natürlich auch komplette Texte, die letzten Endes weiterhin von deiner Hometastatur getippt werden, mitschneiden kann und nicht bloß Kennwörter, sollte klar sein.
Kurzum: ein Himmelfahrtskommando.
Mal angenommen, Du setzt die Terminalserveridee um. Du findest also einen Weg, der Dir behagt, samt Einmalkennwörtern, damit die Keyloggergefahr zumindest um die Kennwörter sinkt. Eines Tages dann kommt heraus, dass Eure Ideen gestohlen wurden. Wer steht dafür gerade, Du etwa, oder wer möchte das verantworten?
Seit x Jahren gibt es Viren, die regelmäßig Screenshots machen und diese nach Hause funken. Dagegen schützt Dich kein TS-Konstrukt. Schon das bloße Darstellen auf dem Bildschirm eines Homerechners ist sehr kritisch zu sehen und deswegen sollte man sich zuerst die Frage stellen "wer verantwortet das?". Dass ein Keylogger natürlich auch komplette Texte, die letzten Endes weiterhin von deiner Hometastatur getippt werden, mitschneiden kann und nicht bloß Kennwörter, sollte klar sein.
Kurzum: ein Himmelfahrtskommando.
Hallo,
erst mal vielen dank für die Ideen.
Wie der Konsens hier habe ich auch echt Bauchschmerzen mit dem Zugriff.
Leider kann ich mich über gewisse Anforderungen nicht drüber wegsetzten sonder lediglich Warnen, mich schriftlich absichern und versuchen die möglichst beste Lösung dafür zu finden. (Bzw. hoffen das die Präsentation der Gefahren und Optionen so gut ist das man davon absieht)
Ich denke aber mal das ich mir die Citrix Lösung zumindest mal genauer ansehen werde.
Mit freundlichen Grüßen
Askahain
erst mal vielen dank für die Ideen.
Wie der Konsens hier habe ich auch echt Bauchschmerzen mit dem Zugriff.
Leider kann ich mich über gewisse Anforderungen nicht drüber wegsetzten sonder lediglich Warnen, mich schriftlich absichern und versuchen die möglichst beste Lösung dafür zu finden. (Bzw. hoffen das die Präsentation der Gefahren und Optionen so gut ist das man davon absieht)
Ich denke aber mal das ich mir die Citrix Lösung zumindest mal genauer ansehen werde.
Mit freundlichen Grüßen
Askahain
