10
Netzwerksicherheit erhöhen - Terminalserver
Hallo zusammen,
das jetzige Netzwerk ist eine Domöne mit Win 2008 (DC) und einigen Win 2003 Mitgliedsserver, sowie zwei Win 2008 R2 Remotedesktophosts und einigen XP bzw. Win 7 Clients an denen die User arbeiten.
Ziel ist es die Netzwerksicherheit auf ein Maximum zu erhöhen.
Das heißt die Server sollen am besten komplett von den Clients "abgeschottet" werden.
Die Clients sollen lediglich noch über RDP (RDC) auf die Remotedesktophosts (Farm) zugreifen können.
Die bestehenden Netzlaufwerke auf den Clients, sollen getrennt werden , sodass die Benutzer z.B. keine Produktivdaten auf einen lokal am Client angeschlossenen USB-Stick kopieren können.
Daher ist die Idee, dass die Clients komplett aus der Domäne genommen werden und in einer Arbeitsgruppe sind. Die Server sind weiterhin in der Domäne.
Somit sollten die Server grundsätzlich schon mal durch die Domäne von den Clients getrennt sein.
Damit die RDP-Verbindung von den Clients in der Arbeitsgruppe zu den Remotedesktophosts in der Domäne funktioniert, mussten sicherlich einige Ports an der Firewall in Windows geöffnet werden.
Wenn die Clients nicht mehr in der Domäne sind, dann können auf diese keine Gruppenrichtlinien mehr wirken. Somit müssten alle Clients manuell konfiguriert werden.
Gibt es bessere Möglichkeiten die Netzwerksicherheit (Clients zu den Servern), also die oben beschriebenen?
Vielen Dank für Eure Hilfe!
Gruß
das jetzige Netzwerk ist eine Domöne mit Win 2008 (DC) und einigen Win 2003 Mitgliedsserver, sowie zwei Win 2008 R2 Remotedesktophosts und einigen XP bzw. Win 7 Clients an denen die User arbeiten.
Ziel ist es die Netzwerksicherheit auf ein Maximum zu erhöhen.
Das heißt die Server sollen am besten komplett von den Clients "abgeschottet" werden.
Die Clients sollen lediglich noch über RDP (RDC) auf die Remotedesktophosts (Farm) zugreifen können.
Die bestehenden Netzlaufwerke auf den Clients, sollen getrennt werden , sodass die Benutzer z.B. keine Produktivdaten auf einen lokal am Client angeschlossenen USB-Stick kopieren können.
Daher ist die Idee, dass die Clients komplett aus der Domäne genommen werden und in einer Arbeitsgruppe sind. Die Server sind weiterhin in der Domäne.
Somit sollten die Server grundsätzlich schon mal durch die Domäne von den Clients getrennt sein.
Damit die RDP-Verbindung von den Clients in der Arbeitsgruppe zu den Remotedesktophosts in der Domäne funktioniert, mussten sicherlich einige Ports an der Firewall in Windows geöffnet werden.
Wenn die Clients nicht mehr in der Domäne sind, dann können auf diese keine Gruppenrichtlinien mehr wirken. Somit müssten alle Clients manuell konfiguriert werden.
Gibt es bessere Möglichkeiten die Netzwerksicherheit (Clients zu den Servern), also die oben beschriebenen?
Vielen Dank für Eure Hilfe!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172518
Url: https://administrator.de/contentid/172518
Printed on: April 19, 2024 at 11:04 o'clock
10 Comments
Latest comment
Hallo,
ich verstehe im besten Willen nicht, warum Du die Clients aus der Domäne nehmen willst - höchstens, Du möchtest Dir das Fitnessstudio sparen...
Terminalserver klingt für Dich recht passend, wenn es um Datenschutz geht, aber das hat mit den restlichen Themen einfach nichts zu tun.
Welche Rechte ein Client in der Domäne hat, legst doch DU fest.
Phil
ich verstehe im besten Willen nicht, warum Du die Clients aus der Domäne nehmen willst - höchstens, Du möchtest Dir das Fitnessstudio sparen...
Terminalserver klingt für Dich recht passend, wenn es um Datenschutz geht, aber das hat mit den restlichen Themen einfach nichts zu tun.
Welche Rechte ein Client in der Domäne hat, legst doch DU fest.
Phil
Hi,
danke für Deine Antwort.
Das mit dem Entfernen der Clients aus der Domäne war nicht meine Idee, sondern ein vor schlag von einem Kollege.
Mir sind die Nachteile, wenn die Clients nicht mehr in der Domäne sind soweit bekannt.
Kann mir jemand noch weitere Tipps zu dem Thema Netzwerksicherheit geben.
Danke!
Gruß
danke für Deine Antwort.
Das mit dem Entfernen der Clients aus der Domäne war nicht meine Idee, sondern ein vor schlag von einem Kollege.
Mir sind die Nachteile, wenn die Clients nicht mehr in der Domäne sind soweit bekannt.
Kann mir jemand noch weitere Tipps zu dem Thema Netzwerksicherheit geben.
Danke!
Gruß
Hallo,
die Frage ist leider wie:
"Kann mir jemand Tipps geben, wie man Autos repariert"....
--> SEHR allgemein.
Netzwerksicherheit und Datenschutz sind große Themen, wobei Du (oder ein Dienstleister) einen für euch passenden Weg finden muss.
Wovor willst Du dich schützen?
- Systemausfälle
- Hackangriffe
- Datenlecks
Niemand kennt Deine Infrastruktur.
Grundsätzlich:
- So wenige Daten wie möglich auf den Client kommen lassen (Terminalserver ist keine Idee)
- Nur wirklich benötigte Verbindungen zulassen (Netzwerk segmentieren und mit einer vernünftig konfigurierten Firewall den Verkehr regeln)
- Mitarbeiter schulen
- Den Mitarbeitern klar formulierte Arbeitsanweisungen geben, was erlaubt ist und was nicht
- Jedem Mitarbeiter nur die dringend benötigten Rechte geben
- Je nach Brisanz eventuell auch 4-Augen-Konzepte prüfen
Phil
die Frage ist leider wie:
"Kann mir jemand Tipps geben, wie man Autos repariert"....
--> SEHR allgemein.
Netzwerksicherheit und Datenschutz sind große Themen, wobei Du (oder ein Dienstleister) einen für euch passenden Weg finden muss.
Wovor willst Du dich schützen?
- Systemausfälle
- Hackangriffe
- Datenlecks
Niemand kennt Deine Infrastruktur.
Grundsätzlich:
- So wenige Daten wie möglich auf den Client kommen lassen (Terminalserver ist keine Idee)
- Nur wirklich benötigte Verbindungen zulassen (Netzwerk segmentieren und mit einer vernünftig konfigurierten Firewall den Verkehr regeln)
- Mitarbeiter schulen
- Den Mitarbeitern klar formulierte Arbeitsanweisungen geben, was erlaubt ist und was nicht
- Jedem Mitarbeiter nur die dringend benötigten Rechte geben
- Je nach Brisanz eventuell auch 4-Augen-Konzepte prüfen
Phil
Hi,
also hauptsächlich soll das Netzwerk vor Datenklau geschützt werden.
Deswegen Terminalserver, da in diesem Fall ja die Benutzer Remote auf den TS (Farm) arbeiten und der Client nur die Bildschirminhalte anzeigt.
An den Clients sollen künftig keine Netzlaufwerke mehr vorhanden sein, da hierüber und über USB-Sticks, die an den Client angeschlossen werden könnten, Daten geklaut werden könnten. Die Benutzer sollen nur auf den TS arbeiten.
Lokal an den XP Client (TS-Clients) sollen die Benutzer gar nicht arbeiten (Programme starten und damit Daten lokal speichern), sondern nur auf dem TS.
Wieso ist TS dazu keine Idee (wie Du geschrieben hast)?
Wäre hier evlt. ein Einsatz von Thin-Clients (die gleich beim Start nur auf RDP zum TS verbinden) besser als Fat-Clients?
Mit Einsatz von Terminalserver kann man das einschränken (keine lokalen Clientlaufwerk in die TS-Sitzung machen).
Gruß
also hauptsächlich soll das Netzwerk vor Datenklau geschützt werden.
Deswegen Terminalserver, da in diesem Fall ja die Benutzer Remote auf den TS (Farm) arbeiten und der Client nur die Bildschirminhalte anzeigt.
An den Clients sollen künftig keine Netzlaufwerke mehr vorhanden sein, da hierüber und über USB-Sticks, die an den Client angeschlossen werden könnten, Daten geklaut werden könnten. Die Benutzer sollen nur auf den TS arbeiten.
Lokal an den XP Client (TS-Clients) sollen die Benutzer gar nicht arbeiten (Programme starten und damit Daten lokal speichern), sondern nur auf dem TS.
Wieso ist TS dazu keine Idee (wie Du geschrieben hast)?
Wäre hier evlt. ein Einsatz von Thin-Clients (die gleich beim Start nur auf RDP zum TS verbinden) besser als Fat-Clients?
Mit Einsatz von Terminalserver kann man das einschränken (keine lokalen Clientlaufwerk in die TS-Sitzung machen).
Gruß
moinsen
jetzt nur mal ein Beispiel.....
Das sind nur 3 ganz banale Wege, die jeder der - wenns nötig sein sollte - schon bei 2 schon auf den Bäumen ist - beherrscht.
Die anderen, die keinen Datenklau machen würden behinderst du damit ganz beträchtlich - und wenn die Kisten auch noch außerhalb der Domaine werkeln - dann gibts (je nach Firmengröße) täglich oder Monatlich neue Reifen fürs Firmenmopped - also eher erhöhst du kurzfristig nur die Sicherheit, dass keiner mehr arbeiten kann und die Wahrscheinlichkeit, dass du durch einen Konditor ersetzt wirst und selber wieder in der Backstube werkeln mußt.
Willst du das wirklich?
Eben.
Gruß
jetzt nur mal ein Beispiel.....
- Hardcopy
- Copy aus RDP Session - Paste in echtclient
- mailto:
Das sind nur 3 ganz banale Wege, die jeder der - wenns nötig sein sollte - schon bei 2 schon auf den Bäumen ist - beherrscht.
Die anderen, die keinen Datenklau machen würden behinderst du damit ganz beträchtlich - und wenn die Kisten auch noch außerhalb der Domaine werkeln - dann gibts (je nach Firmengröße) täglich oder Monatlich neue Reifen fürs Firmenmopped - also eher erhöhst du kurzfristig nur die Sicherheit, dass keiner mehr arbeiten kann und die Wahrscheinlichkeit, dass du durch einen Konditor ersetzt wirst und selber wieder in der Backstube werkeln mußt.
Willst du das wirklich?
Eben.
Gruß
Hi,
danke für die Antwort.
Nein, das will ich natürlich nicht - die beschriebenen Dinge waren lediglich erste Ideen und überlegen der Kollegen.
Ich soll dafür sorgen, dass der Datenklau mit erhöhter Sicherheitsstruktur nicht mehr möglich ist.
Die 3 genannten Beispiele kann ich voll und ganz nachvollziehen. Aber man könnte die Zwischenablage für die RDP-Sessions deaktivieren. Hardcopy könnte man ggf. auch mit Rechten deaktivieren.Die Mail-Funktion muss ja offen bleiben, da ja Mails an die Kunden gesendet werden müssen.
Zusätzlich noch eine Frage zu dem Thema (die Benutzer sollen alles in den TS-Sessions machen):
Die Benutzer sollen die Möglichkeit haben, auch neue Softwareupdates für Softwaretestumgebungen auf dem TS selbst zu installieren. Der Administrator soll dies nicht über alle TS-Benutzer machen müssen.
Von den Rechten her sollte das ja einrichtbar sein - ist das jedoch nicht ein hohes Sicherheitsrisiko? auch wenn ich die Software kenne (es ist genau bekannt wo die Software etwas reinschreibt bei der Installation/Updates)
Gruß
danke für die Antwort.
Nein, das will ich natürlich nicht - die beschriebenen Dinge waren lediglich erste Ideen und überlegen der Kollegen.
Ich soll dafür sorgen, dass der Datenklau mit erhöhter Sicherheitsstruktur nicht mehr möglich ist.
Die 3 genannten Beispiele kann ich voll und ganz nachvollziehen. Aber man könnte die Zwischenablage für die RDP-Sessions deaktivieren. Hardcopy könnte man ggf. auch mit Rechten deaktivieren.Die Mail-Funktion muss ja offen bleiben, da ja Mails an die Kunden gesendet werden müssen.
Zusätzlich noch eine Frage zu dem Thema (die Benutzer sollen alles in den TS-Sessions machen):
Die Benutzer sollen die Möglichkeit haben, auch neue Softwareupdates für Softwaretestumgebungen auf dem TS selbst zu installieren. Der Administrator soll dies nicht über alle TS-Benutzer machen müssen.
Von den Rechten her sollte das ja einrichtbar sein - ist das jedoch nicht ein hohes Sicherheitsrisiko? auch wenn ich die Software kenne (es ist genau bekannt wo die Software etwas reinschreibt bei der Installation/Updates)
Gruß
Servus,
nunja - bei uns sind nur div. USB Ports überhaupt offen und die die es sind da dürfen nur bestimmte User bestimmte Geräte anschliessen.
Einen Link zu USB Secure, das dahinter liegt habe ich hier mal liegenlassen.
Das Thema ist kein Thema fürdasein Forum, das sprengt sogar einen Tag mit einem fähigen Consultant vor Ort.
Grundsätzlich ist in meinen Augen der Admin für sowas zuständig - in einer TS Umgebung ist das mit Softwaretestumgebungen nur dann möglich, wenn es ein dediziertes Testsystem dafür gibt. Klar jetzt kommst du wieder und sagst, zu teuer zu groß zu umständlich - aber wir haben eine extra Maschine, die für sowas herhalten muß und wenn ein Echtsystem abraucht, gibts halt keine Tests, aber wir schaffen unsere max. tolerierbare Downtime damit besser und "so" sparen wir wieder Kohle.
Von daher:
Du siehst, es kommt immer auf die Details an und die werden wir wirklich nicht hier alle erkennen können, denn ein Consulter geht durchs ganze / oder den Teil, der betroffen ist und informiert sich nach dem IST und Soll Zustand und entscheidet dann, was der bessere Weg wäre.
Hier wirst du max. viele Antworten von uns bekommen, aber auch nur auf die Details, die du uns aus deiner Sicht nennst und deswegen ist das wirklich nix für hier.
Gruß
nunja - bei uns sind nur div. USB Ports überhaupt offen und die die es sind da dürfen nur bestimmte User bestimmte Geräte anschliessen.
Einen Link zu USB Secure, das dahinter liegt habe ich hier mal liegenlassen.
Die Benutzer sollen die Möglichkeit haben, auch neue Softwareupdates für Softwaretestumgebungen auf dem TS selbst zu installieren.
Der Administrator soll dies nicht über alle TS-Benutzer machen müssen.
Der Administrator soll dies nicht über alle TS-Benutzer machen müssen.
Das Thema ist kein Thema für
Grundsätzlich ist in meinen Augen der Admin für sowas zuständig - in einer TS Umgebung ist das mit Softwaretestumgebungen nur dann möglich, wenn es ein dediziertes Testsystem dafür gibt. Klar jetzt kommst du wieder und sagst, zu teuer zu groß zu umständlich - aber wir haben eine extra Maschine, die für sowas herhalten muß und wenn ein Echtsystem abraucht, gibts halt keine Tests, aber wir schaffen unsere max. tolerierbare Downtime damit besser und "so" sparen wir wieder Kohle.
Von daher:
ist das jedoch nicht ein hohes Sicherheitsrisiko?
Nicht nur, denn so ist das Risiko, das eine Beta / Testversion den ;Livebetrieb in den orkus jagt nicht nur theologisch sondern auch Praktologisch vorhanden und "eigentlich" passt das garnicht zum halb angedachten Konzept, das System abzudichten.Du siehst, es kommt immer auf die Details an und die werden wir wirklich nicht hier alle erkennen können, denn ein Consulter geht durchs ganze / oder den Teil, der betroffen ist und informiert sich nach dem IST und Soll Zustand und entscheidet dann, was der bessere Weg wäre.
Hier wirst du max. viele Antworten von uns bekommen, aber auch nur auf die Details, die du uns aus deiner Sicht nennst und deswegen ist das wirklich nix für hier.
Gruß
Hi.
"Wie entstehen solche Threads, wie unstrukturiert kann man sein?" - Beide Fragen drängen sich mir auf.
Ich lästere ungern und klicke "wenig anspruchsvoll" aus Prinzip nie, weil ich es spackig finde auf gut deutsch, aber dieses Posting auf der Suche nach "maximaler Sicherheit" ist echt eine Klasse für sich.
Zu den Tipps, die gut gemeint sind und etwas bringen sollen:
-Was schützen wir, welchen Aufwand rechtfertigt dies?
-Gegen wen schützen wir?
-Welche Angriffsvektoren gibt es?
-Welche Maßnahmen kann man ergreifen, welche Effekte haben diese Maßnahmen auf die Arbeit? <- spätestens hier musst Du mit Fachwissen anrücken, da fehlt es ganz stark auf diesem Gebiet, fürchte ich. Du kannst dazu natürlichh viele Fragen stellen, hier oder anderswo, aber was hilft das bei der Durchführung? Wie willst Du danach mit Deinem unsicheren Wissen Sicherheit erhöhen?
Du kannst jetzt mit der Fragestellung von vorn anfangen oder "die ganze Geschichte" haarklein erzählen oder es auch lassen. Ich würd es lassen. Nein, mal ehrlich:
-"Man" kann Datenklau durch Mitarbeiter beschränken, das ist nicht einfach. Wenn Du Antworten willst, dann beschreibe, was abfließen kann und wie und in welchem Maße das nicht hinnehmbar wäre.
-Wenn Du von "abschotten" sprichst, schließt sich vor meinen Augen ein Schott. Wir kennen Deine Umgebung nicht, was soll es denn nur bringen, das Wort überhaupt zu benutzen? Beschreibe, wie Arbeit möglich sein soll, dann kann man über eine Minimierung der Angriffsfläche verhandeln.
Und zu guter Letzt: nobody's perfect, ja. Aber wie Du Deine Vorgehensweise hier rüberbringst, sträubt mir die Nackenhaare. Nimm dies Kommentar dennoch freundlich auf, es soll helfen.
"Wie entstehen solche Threads, wie unstrukturiert kann man sein?" - Beide Fragen drängen sich mir auf.
Ziel ist es die Netzwerksicherheit auf ein Maximum zu erhöhen
Das sagt nichts aus. 0,0 Informationsgehalt.Damit die RDP-Verbindung von den Clients in der Arbeitsgruppe zu den Remotedesktophosts in der Domäne funktioniert, mussten sicherlich einige Ports an der Firewall in Windows geöffnet werden
Das zeugt von komplettem Unverständnis der Materie - beim besten Willen....die Netzwerksicherheit (Clients zu den Servern)
Was soll das heißen "Sicherheit zu den Servern"? Mach Dich mal mit IT-Sprache vertraut, um konkret zu werden. Das ist ein Witz.also hauptsächlich soll das Netzwerk vor Datenklau geschützt werden
...und das durch die eigenen Mitarbeiter. OK, das ist das einzig halbwegs Konkrete an dem ganzen Thread.Die Benutzer sollen die Möglichkeit haben, auch neue Softwareupdates für Softwaretestumgebungen auf dem TS selbst zu installieren
Eine Spitzenidee... gerade auf Terminalservern erhöht sich die Sicherheit maximal, wenn man den Nutzern Installationsrechte gibt, damit gibst Du ihnen komplette Kontrolle über den Server. Da brauchst Du nicht einmal anzufangen mit den Überlegungen.Ich lästere ungern und klicke "wenig anspruchsvoll" aus Prinzip nie, weil ich es spackig finde auf gut deutsch, aber dieses Posting auf der Suche nach "maximaler Sicherheit" ist echt eine Klasse für sich.
Zu den Tipps, die gut gemeint sind und etwas bringen sollen:
-Was schützen wir, welchen Aufwand rechtfertigt dies?
-Gegen wen schützen wir?
-Welche Angriffsvektoren gibt es?
-Welche Maßnahmen kann man ergreifen, welche Effekte haben diese Maßnahmen auf die Arbeit? <- spätestens hier musst Du mit Fachwissen anrücken, da fehlt es ganz stark auf diesem Gebiet, fürchte ich. Du kannst dazu natürlichh viele Fragen stellen, hier oder anderswo, aber was hilft das bei der Durchführung? Wie willst Du danach mit Deinem unsicheren Wissen Sicherheit erhöhen?
Du kannst jetzt mit der Fragestellung von vorn anfangen oder "die ganze Geschichte" haarklein erzählen oder es auch lassen. Ich würd es lassen. Nein, mal ehrlich:
-"Man" kann Datenklau durch Mitarbeiter beschränken, das ist nicht einfach. Wenn Du Antworten willst, dann beschreibe, was abfließen kann und wie und in welchem Maße das nicht hinnehmbar wäre.
-Wenn Du von "abschotten" sprichst, schließt sich vor meinen Augen ein Schott. Wir kennen Deine Umgebung nicht, was soll es denn nur bringen, das Wort überhaupt zu benutzen? Beschreibe, wie Arbeit möglich sein soll, dann kann man über eine Minimierung der Angriffsfläche verhandeln.
Und zu guter Letzt: nobody's perfect, ja. Aber wie Du Deine Vorgehensweise hier rüberbringst, sträubt mir die Nackenhaare. Nimm dies Kommentar dennoch freundlich auf, es soll helfen.
Hi,
vielen Dank!, dass Du trotz meiner "schlechten" Beschreibung eine Antwort gepostet hast...und Deine Kommentare kann ich voll und ganz nachvollziehen.
Warum muss man wie oben beschrieben keine Ports in der Firewall öffnen z.B. DNS, damit der TS-Farmname aufgelöst werden kann?
Geschützt werden sollen Firmendaten vor Datenklau z.B. Adressdaten etc.
Gegen die Benutzer (immer mehrere Mitarbeiter) die Zugriff zum Arbeiten auf die Firmendaten haben und die evtl. unrechtmäßig "klauen" könnten.
Die Benutzer sollen von den Clients aus keine Dateien, die auf dem Server gespeichert sind, lokal am Client auf z.B. USB-Sticks speichern können (deshalb sollen die Verbindungen zwischen Clients und Servern (Netzlaufwerke) künftig nicht mehr vorhanden sein - die Benutzer sollen auf den TS arbeiten.
Gruß
vielen Dank!, dass Du trotz meiner "schlechten" Beschreibung eine Antwort gepostet hast...und Deine Kommentare kann ich voll und ganz nachvollziehen.
Warum muss man wie oben beschrieben keine Ports in der Firewall öffnen z.B. DNS, damit der TS-Farmname aufgelöst werden kann?
Geschützt werden sollen Firmendaten vor Datenklau z.B. Adressdaten etc.
Gegen die Benutzer (immer mehrere Mitarbeiter) die Zugriff zum Arbeiten auf die Firmendaten haben und die evtl. unrechtmäßig "klauen" könnten.
Die Benutzer sollen von den Clients aus keine Dateien, die auf dem Server gespeichert sind, lokal am Client auf z.B. USB-Sticks speichern können (deshalb sollen die Verbindungen zwischen Clients und Servern (Netzlaufwerke) künftig nicht mehr vorhanden sein - die Benutzer sollen auf den TS arbeiten.
Gruß
Moin.
Geh doch mal auf die letzten beiden Spiegelstriche so detailliert ein, wie Du nur kannst. Das Posting war kein Fortschritt.
Geh doch mal auf die letzten beiden Spiegelstriche so detailliert ein, wie Du nur kannst. Das Posting war kein Fortschritt.
