17
Zugriff nur für Domänencomputer
Hallo zusammen,
ich habe in einem W2k3 AD 200 Clients, die mit Gruppenrichtlinien, Antivirus etc. relativ stark eingeschränkt sind.
Nun passiert es aber immer wieder mal, dass ein cleverer User (vorzugsweise einer, dessen FirmenPC ein Laptop ist) sein privates Laptop mitbringt (merkt kein Mensch...), per DHCP eine IP Adresse zugewiesen bekommt, sich mit Firmenuser/passwort mit den Freigaben verbindet, im Internet rumsurft (Proxy wird mit WPAD zugewiesen, damit die Leute auch zu Hause surfen können) und somit völlig unkontrolliert arbeiten - oder eben sonstwas machen kann. Da mittlerweile schon die Computerbild Programme anpreist, die sich via https durch jede Firewall tunneln, lässt mich das immer schlechter schlafen...
Irgendwas mit MAC Adressen zu machen ist a. ein Mordsaufwand und b. auch nicht der Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige MAC Adresse zuzuweisen.
Damit kome ich zu meiner Lieblingsfrage: Wie machen andere das? Wie verhindert man sowas - oder wenn das nicht geht, wie kann der Admin eine Nachricht bekommen, wenn ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?
ratlos
Frank
ich habe in einem W2k3 AD 200 Clients, die mit Gruppenrichtlinien, Antivirus etc. relativ stark eingeschränkt sind.
Nun passiert es aber immer wieder mal, dass ein cleverer User (vorzugsweise einer, dessen FirmenPC ein Laptop ist) sein privates Laptop mitbringt (merkt kein Mensch...), per DHCP eine IP Adresse zugewiesen bekommt, sich mit Firmenuser/passwort mit den Freigaben verbindet, im Internet rumsurft (Proxy wird mit WPAD zugewiesen, damit die Leute auch zu Hause surfen können) und somit völlig unkontrolliert arbeiten - oder eben sonstwas machen kann. Da mittlerweile schon die Computerbild Programme anpreist, die sich via https durch jede Firewall tunneln, lässt mich das immer schlechter schlafen...
Irgendwas mit MAC Adressen zu machen ist a. ein Mordsaufwand und b. auch nicht der Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige MAC Adresse zuzuweisen.
Damit kome ich zu meiner Lieblingsfrage: Wie machen andere das? Wie verhindert man sowas - oder wenn das nicht geht, wie kann der Admin eine Nachricht bekommen, wenn ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?
ratlos
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 38689
Url: https://administrator.de/contentid/38689
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
17 Kommentare
Neuester Kommentar
hallo frank
habe zwar nicht die perfekte lösung jedoch folgende Ideen:
als erstes würd ich der chefabteilung klar machen, dass ihr interne richtlinien benötigt die das mitbringen oder benutzen von privaten laptops untersagt.
bei den freigaben, würde ich die freigabe nur auf bestimmte gruppen beschränken, die ja dann nicht auf dem laptop sind
ansonsten lässt sich sicher auch viel mit dem ISA Server machen.
Weitere Ideen
grüsse shaby
habe zwar nicht die perfekte lösung jedoch folgende Ideen:
als erstes würd ich der chefabteilung klar machen, dass ihr interne richtlinien benötigt die das mitbringen oder benutzen von privaten laptops untersagt.
bei den freigaben, würde ich die freigabe nur auf bestimmte gruppen beschränken, die ja dann nicht auf dem laptop sind
ansonsten lässt sich sicher auch viel mit dem ISA Server machen.
Weitere Ideen
grüsse shaby
Hi,
also wir würden hier bei uns eine Abmahung schreiben, da es bei uns eine Vorschrift gibt. Die ca. folgenden Inhalt hat: Am Frimennetzwerk drüfen nur PC/NB angeschlossen werden, die von der Abteilung xxx genehmigt wurden oder in der Fima bestellt werden.
Dies hat natürlich bei uns jeder Unterschreiben müssen und somit wäre eine Abmahung fällig.
Gruß
Dani
also wir würden hier bei uns eine Abmahung schreiben, da es bei uns eine Vorschrift gibt. Die ca. folgenden Inhalt hat: Am Frimennetzwerk drüfen nur PC/NB angeschlossen werden, die von der Abteilung xxx genehmigt wurden oder in der Fima bestellt werden.
Dies hat natürlich bei uns jeder Unterschreiben müssen und somit wäre eine Abmahung fällig.
Damit kome ich zu meiner Lieblingsfrage: Wie> machen andere das? Wie verhindert man
sowas - oder wenn das nicht geht, wie kann der Admineine Nachricht bekommen, wenn
ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?
Wenn du die DHCP Administration aufmachst, siehst du unter "Release" die vergebenen IP mit dem dazu gehörigen Namen.sowas - oder wenn das nicht geht, wie kann der Admineine Nachricht bekommen, wenn
ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?
Irgendwas mit MAC Adressen zu machen ist a. ein Mordsaufwand und b. auch nicht der
Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige
MAC Adresse zuzuweisen.
Du könntest im DHCP für alle Computer die IP-Reservieren. Ist zwar ein kl. Aufwand, jedoch kann ein UNBEKANNTER keine IP erhalten.Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige
MAC Adresse zuzuweisen.
Gruß
Dani
Hi,
die Abmahnung ist doch nur eine leere Drohung. Die Laptops sind von IBM, Siemens oder Toshiba und ich weiss von wenigstens 3 Usern, dass sie privat genau dasselbe Modell besitzen. Das Risiko, mit dem privaten Laptop erwischt zu werden, geht momentan gegen null.
Reservierungen kann ich doch nur anhand der MAC Adresse vergeben. Klar wäre das denkbar, aber Aufwand und Ergebnis passen da für mich nicht zusammen.
Wenn ich nämlich tatsächlich den grossen (!!!) Aufwand betreibe, 200 MAC Adressen zu sammeln und vor allem zu pflegen, hilft mir das auch nix, wenn der User irgendwie an die IP Adresse seines Firmenlaptops kommt und die per Hand ohne jede DHCP Mitwirkung in seinen privaten Rechner einträgt. Oder einfach ein paar Adressen durchprobiert. Mindestens beim VPN Zugriff kann er IPs erspähen und wenn es zu einem Adresskonflikt kommen sollte, packt er ganz schnell sein Laptop weg und keiner hats gesehen...
Wir haben einen fetten HP Switch, über den eigentlich alles relevante läuft. Ich habe schon daran gedacht, auf dem in irgendeiner Form irgendetwas prüfen zu können, aber alles, was ich bisher gefunden habe, kostet entweder ein Schweinegeld oder hilft mir nicht weiter...
Nee, warum hab ich bloss angefangen, mir darüber Sorgen zu machen...
Frank
die Abmahnung ist doch nur eine leere Drohung. Die Laptops sind von IBM, Siemens oder Toshiba und ich weiss von wenigstens 3 Usern, dass sie privat genau dasselbe Modell besitzen. Das Risiko, mit dem privaten Laptop erwischt zu werden, geht momentan gegen null.
Reservierungen kann ich doch nur anhand der MAC Adresse vergeben. Klar wäre das denkbar, aber Aufwand und Ergebnis passen da für mich nicht zusammen.
Wenn ich nämlich tatsächlich den grossen (!!!) Aufwand betreibe, 200 MAC Adressen zu sammeln und vor allem zu pflegen, hilft mir das auch nix, wenn der User irgendwie an die IP Adresse seines Firmenlaptops kommt und die per Hand ohne jede DHCP Mitwirkung in seinen privaten Rechner einträgt. Oder einfach ein paar Adressen durchprobiert. Mindestens beim VPN Zugriff kann er IPs erspähen und wenn es zu einem Adresskonflikt kommen sollte, packt er ganz schnell sein Laptop weg und keiner hats gesehen...
Wir haben einen fetten HP Switch, über den eigentlich alles relevante läuft. Ich habe schon daran gedacht, auf dem in irgendeiner Form irgendetwas prüfen zu können, aber alles, was ich bisher gefunden habe, kostet entweder ein Schweinegeld oder hilft mir nicht weiter...
Nee, warum hab ich bloss angefangen, mir darüber Sorgen zu machen...
Frank
Hi,
Naja...das würde ich nicht sagen. Bei 3 Abmahungen hast ein Problem bei uns. Es dazu führen, dass er/sie seinen Arbeitsplatz verliert.
Gruß
Dani
die Abmahnung ist doch nur eine leere Drohung.
Es zeigt ihm aber das du hinter ihm her bist und das du die Möglichkeit hast den Missbrauch zu sehen!Naja...das würde ich nicht sagen. Bei 3 Abmahungen hast ein Problem bei uns. Es dazu führen, dass er/sie seinen Arbeitsplatz verliert.
Gruß
Dani
Was ist denn das? 2006?
Beitrags-Recycling, weil vor 8 noch so wenig los ist?
Beitrags-Recycling, weil vor 8 noch so wenig los ist?
Danke für den Hinweis.
Ich achte immer noch zu wenig auf's Datum und hatte schon eine "Superidee"
Markus
Ich achte immer noch zu wenig auf's Datum und hatte schon eine "Superidee"
Markus
Eine Möglichkeit wäre Kennungen für deine Pcs zu verteilen... Ich weis nicht ob dir Windows Peacy etwas sagt die haben bestimmte Knotennamen das ein normales Windows System nicht hat. Oder eine Monitoringsoftware Nagios zum Beispiel zur Überwachung die wäre beispielsweise mit dem Mac Adress Filter effektiv also praktisch erkennt die Monitoring Software eine "falsche" Macadresse oder einen "falschen" Computer, dann kannst du sperren im Router oder Server.
Hallo,
Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection), damit kannst du Clients auf gewisse Anforderungen überprüfen, z.b. Domänenmitgied, Virenscanner aktuell, Windows Update auf dem neuesten Stand, etc. Wenn der Client den Anforderungen gerecht wird, kommt er ins Lan, ansonsten in ein Vlan. Von dem Vlan könntest du die Rechte geben auf Microsoft Update zuzugreifen. Somit kannst du verhindern, dass Computer ohne aktuelle Updates erst mal aktualisieren müssen.
Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.
Grüße, Michael.
Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection), damit kannst du Clients auf gewisse Anforderungen überprüfen, z.b. Domänenmitgied, Virenscanner aktuell, Windows Update auf dem neuesten Stand, etc. Wenn der Client den Anforderungen gerecht wird, kommt er ins Lan, ansonsten in ein Vlan. Von dem Vlan könntest du die Rechte geben auf Microsoft Update zuzugreifen. Somit kannst du verhindern, dass Computer ohne aktuelle Updates erst mal aktualisieren müssen.
Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.
Grüße, Michael.
Müsste man eigentlich dem Administrator.de-Superadmin melden...
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.
Zur Lösung: kommt eigentlich niemand auf die Idee, die Anzahl der Anmeldeworkstations auf die benötigten zu begrenzen? Ist zwar Aufwand, aber wär somit gelöst.
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.
Zur Lösung: kommt eigentlich niemand auf die Idee, die Anzahl der Anmeldeworkstations auf die benötigten zu begrenzen? Ist zwar Aufwand, aber wär somit gelöst.
Zitat von @DerWoWusste:
Müsste man eigentlich dem Administrator.de-Superadmin melden...
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.
Hey,Müsste man eigentlich dem Administrator.de-Superadmin melden...
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.
wo steht die Anzeige bei Null?
Grüße,
Dani
Na in der Beitragsliste https://administrator.de/ticker/
Hallo, Ich bins nochmal,
Es gibt auch noch eine Monitoring-Lösung, welche die MAC-Adressen von den Switches ausliest und es dir anzeigt, wenn neue Geräte angesteckt werden. So kannst du deinem Kollgen auf die Schulter klopfen, sollte er ein Gerät anstecken. Wenn du interessiert daran bist, schreib ein PN.
Nochmal Grüße, Michael.
Es gibt auch noch eine Monitoring-Lösung, welche die MAC-Adressen von den Switches ausliest und es dir anzeigt, wenn neue Geräte angesteckt werden. So kannst du deinem Kollgen auf die Schulter klopfen, sollte er ein Gerät anstecken. Wenn du interessiert daran bist, schreib ein PN.
Nochmal Grüße, Michael.
Zitat von @mike55:
Hallo,
Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection),
...
Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.
Und wer eine gemischte Umgebung hat, der kann auch NAC (Network Access Control) von Symantec nutzen.Hallo,
Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection),
...
Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.
Ich hätte es mit einem im Loginscript dsquery computer .... probiert, in der Annahme, dass der Benutzer kein Admin ist und das Notebook eigenständig in die Domäne heben kann.
Kein Treffer, keine Anmeldung
Markus
Kein Treffer, keine Anmeldung
Markus
Wie willst du es schafen, mit einem Logon-Skript andere Computer aus deinem Netzwerk auszuschließen?
Eine weitere Möglichkeit wäre, die Netzwerk-Kommunikation per IPsec zu verschlüsseln. Die Domänen-Computer bekommen per GPO das Zertifikat zum entschlüsseln des Netzwerkverkehrs, und andere Computer können nicht mehr mit deinem Server kommunizieren.
Das dürfte vielleicht sogar die schnellste Möglichkeit sein. Wireshark und ähnliche Tools kannst du danach leider vergessen.
Leider bringt jeder Sicherheits-Feature auch Nachteile / Einschränkungen.
Grüße, Michael
Eine weitere Möglichkeit wäre, die Netzwerk-Kommunikation per IPsec zu verschlüsseln. Die Domänen-Computer bekommen per GPO das Zertifikat zum entschlüsseln des Netzwerkverkehrs, und andere Computer können nicht mehr mit deinem Server kommunizieren.
Das dürfte vielleicht sogar die schnellste Möglichkeit sein. Wireshark und ähnliche Tools kannst du danach leider vergessen.
Leider bringt jeder Sicherheits-Feature auch Nachteile / Einschränkungen.
Grüße, Michael
...und für jeden Gedanken an diesen Uralt-Beitrag gibt's nun eine Mail an uns alle - wann kommt endlich die unsubscribe-Funktion in diesem schönen Forum?
