Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerksicherheit erhöhen - Terminalserver

Mitglied: Excaliburx

Excaliburx (Level 2) - Jetzt verbinden

03.09.2011 um 10:15 Uhr, 6183 Aufrufe, 10 Kommentare

Hallo zusammen,

das jetzige Netzwerk ist eine Domöne mit Win 2008 (DC) und einigen Win 2003 Mitgliedsserver, sowie zwei Win 2008 R2 Remotedesktophosts und einigen XP bzw. Win 7 Clients an denen die User arbeiten.

Ziel ist es die Netzwerksicherheit auf ein Maximum zu erhöhen.
Das heißt die Server sollen am besten komplett von den Clients "abgeschottet" werden.
Die Clients sollen lediglich noch über RDP (RDC) auf die Remotedesktophosts (Farm) zugreifen können.
Die bestehenden Netzlaufwerke auf den Clients, sollen getrennt werden , sodass die Benutzer z.B. keine Produktivdaten auf einen lokal am Client angeschlossenen USB-Stick kopieren können.

Daher ist die Idee, dass die Clients komplett aus der Domäne genommen werden und in einer Arbeitsgruppe sind. Die Server sind weiterhin in der Domäne.
Somit sollten die Server grundsätzlich schon mal durch die Domäne von den Clients getrennt sein.

Damit die RDP-Verbindung von den Clients in der Arbeitsgruppe zu den Remotedesktophosts in der Domäne funktioniert, mussten sicherlich einige Ports an der Firewall in Windows geöffnet werden.

Wenn die Clients nicht mehr in der Domäne sind, dann können auf diese keine Gruppenrichtlinien mehr wirken. Somit müssten alle Clients manuell konfiguriert werden.


Gibt es bessere Möglichkeiten die Netzwerksicherheit (Clients zu den Servern), also die oben beschriebenen?


Vielen Dank für Eure Hilfe!

Gruß
Mitglied: Der-Phil
03.09.2011 um 10:22 Uhr
Hallo,

ich verstehe im besten Willen nicht, warum Du die Clients aus der Domäne nehmen willst - höchstens, Du möchtest Dir das Fitnessstudio sparen...

Terminalserver klingt für Dich recht passend, wenn es um Datenschutz geht, aber das hat mit den restlichen Themen einfach nichts zu tun.

Welche Rechte ein Client in der Domäne hat, legst doch DU fest.

Phil
Bitte warten ..
Mitglied: Excaliburx
03.09.2011 um 10:49 Uhr
Hi,

danke für Deine Antwort.

Das mit dem Entfernen der Clients aus der Domäne war nicht meine Idee, sondern ein vor schlag von einem Kollege.

Mir sind die Nachteile, wenn die Clients nicht mehr in der Domäne sind soweit bekannt.

Kann mir jemand noch weitere Tipps zu dem Thema Netzwerksicherheit geben.

Danke!

Gruß
Bitte warten ..
Mitglied: Der-Phil
03.09.2011 um 11:00 Uhr
Hallo,

die Frage ist leider wie:
"Kann mir jemand Tipps geben, wie man Autos repariert"....

--> SEHR allgemein.

Netzwerksicherheit und Datenschutz sind große Themen, wobei Du (oder ein Dienstleister) einen für euch passenden Weg finden muss.

Wovor willst Du dich schützen?
- Systemausfälle
- Hackangriffe
- Datenlecks

Niemand kennt Deine Infrastruktur.

Grundsätzlich:
- So wenige Daten wie möglich auf den Client kommen lassen (Terminalserver ist keine Idee)
- Nur wirklich benötigte Verbindungen zulassen (Netzwerk segmentieren und mit einer vernünftig konfigurierten Firewall den Verkehr regeln)
- Mitarbeiter schulen
- Den Mitarbeitern klar formulierte Arbeitsanweisungen geben, was erlaubt ist und was nicht
- Jedem Mitarbeiter nur die dringend benötigten Rechte geben
- Je nach Brisanz eventuell auch 4-Augen-Konzepte prüfen


Phil
Bitte warten ..
Mitglied: Excaliburx
04.09.2011 um 00:40 Uhr
Hi,

also hauptsächlich soll das Netzwerk vor Datenklau geschützt werden.

Deswegen Terminalserver, da in diesem Fall ja die Benutzer Remote auf den TS (Farm) arbeiten und der Client nur die Bildschirminhalte anzeigt.

An den Clients sollen künftig keine Netzlaufwerke mehr vorhanden sein, da hierüber und über USB-Sticks, die an den Client angeschlossen werden könnten, Daten geklaut werden könnten. Die Benutzer sollen nur auf den TS arbeiten.

Lokal an den XP Client (TS-Clients) sollen die Benutzer gar nicht arbeiten (Programme starten und damit Daten lokal speichern), sondern nur auf dem TS.

Wieso ist TS dazu keine Idee (wie Du geschrieben hast)?

Wäre hier evlt. ein Einsatz von Thin-Clients (die gleich beim Start nur auf RDP zum TS verbinden) besser als Fat-Clients?

Mit Einsatz von Terminalserver kann man das einschränken (keine lokalen Clientlaufwerk in die TS-Sitzung machen).


Gruß
Bitte warten ..
Mitglied: 60730
04.09.2011 um 00:58 Uhr
moinsen

jetzt nur mal ein Beispiel.....

  • Hardcopy
  • Copy aus RDP Session - Paste in echtclient
  • mailto:

Das sind nur 3 ganz banale Wege, die jeder der - wenns nötig sein sollte - schon bei 2 schon auf den Bäumen ist - beherrscht.
Die anderen, die keinen Datenklau machen würden behinderst du damit ganz beträchtlich - und wenn die Kisten auch noch außerhalb der Domaine werkeln - dann gibts (je nach Firmengröße) täglich oder Monatlich neue Reifen fürs Firmenmopped - also eher erhöhst du kurzfristig nur die Sicherheit, dass keiner mehr arbeiten kann und die Wahrscheinlichkeit, dass du durch einen Konditor ersetzt wirst und selber wieder in der Backstube werkeln mußt.

Willst du das wirklich?

Eben.

Gruß
Bitte warten ..
Mitglied: Excaliburx
04.09.2011 um 01:39 Uhr
Hi,

danke für die Antwort.

Nein, das will ich natürlich nicht - die beschriebenen Dinge waren lediglich erste Ideen und überlegen der Kollegen.

Ich soll dafür sorgen, dass der Datenklau mit erhöhter Sicherheitsstruktur nicht mehr möglich ist.

Die 3 genannten Beispiele kann ich voll und ganz nachvollziehen. Aber man könnte die Zwischenablage für die RDP-Sessions deaktivieren. Hardcopy könnte man ggf. auch mit Rechten deaktivieren.Die Mail-Funktion muss ja offen bleiben, da ja Mails an die Kunden gesendet werden müssen.

Zusätzlich noch eine Frage zu dem Thema (die Benutzer sollen alles in den TS-Sessions machen):

Die Benutzer sollen die Möglichkeit haben, auch neue Softwareupdates für Softwaretestumgebungen auf dem TS selbst zu installieren. Der Administrator soll dies nicht über alle TS-Benutzer machen müssen.
Von den Rechten her sollte das ja einrichtbar sein - ist das jedoch nicht ein hohes Sicherheitsrisiko? auch wenn ich die Software kenne (es ist genau bekannt wo die Software etwas reinschreibt bei der Installation/Updates)

Gruß
Bitte warten ..
Mitglied: 60730
04.09.2011 um 14:14 Uhr
Servus,

nunja - bei uns sind nur div. USB Ports überhaupt offen und die die es sind da dürfen nur bestimmte User bestimmte Geräte anschliessen.
Einen Link zu USB Secure, das dahinter liegt habe ich hier mal liegenlassen.

Die Benutzer sollen die Möglichkeit haben, auch neue Softwareupdates für Softwaretestumgebungen auf dem TS selbst zu installieren.
Der Administrator soll dies nicht über alle TS-Benutzer machen müssen.

Das Thema ist kein Thema für dasein Forum, das sprengt sogar einen Tag mit einem fähigen Consultant vor Ort.

Grundsätzlich ist in meinen Augen der Admin für sowas zuständig - in einer TS Umgebung ist das mit Softwaretestumgebungen nur dann möglich, wenn es ein dediziertes Testsystem dafür gibt. Klar jetzt kommst du wieder und sagst, zu teuer zu groß zu umständlich - aber wir haben eine extra Maschine, die für sowas herhalten muß und wenn ein Echtsystem abraucht, gibts halt keine Tests, aber wir schaffen unsere max. tolerierbare Downtime damit besser und "so" sparen wir wieder Kohle.

Von daher:
ist das jedoch nicht ein hohes Sicherheitsrisiko?
Nicht nur, denn so ist das Risiko, das eine Beta / Testversion den ;Livebetrieb in den orkus jagt nicht nur theologisch sondern auch Praktologisch vorhanden und "eigentlich" passt das garnicht zum halb angedachten Konzept, das System abzudichten.

Du siehst, es kommt immer auf die Details an und die werden wir wirklich nicht hier alle erkennen können, denn ein Consulter geht durchs ganze / oder den Teil, der betroffen ist und informiert sich nach dem IST und Soll Zustand und entscheidet dann, was der bessere Weg wäre.
Hier wirst du max. viele Antworten von uns bekommen, aber auch nur auf die Details, die du uns aus deiner Sicht nennst und deswegen ist das wirklich nix für hier.

Gruß
Bitte warten ..
Mitglied: DerWoWusste
05.09.2011 um 00:11 Uhr
Hi.
"Wie entstehen solche Threads, wie unstrukturiert kann man sein?" - Beide Fragen drängen sich mir auf.
Ziel ist es die Netzwerksicherheit auf ein Maximum zu erhöhen
Das sagt nichts aus. 0,0 Informationsgehalt.
Damit die RDP-Verbindung von den Clients in der Arbeitsgruppe zu den Remotedesktophosts in der Domäne funktioniert, mussten sicherlich einige Ports an der Firewall in Windows geöffnet werden
Das zeugt von komplettem Unverständnis der Materie - beim besten Willen.
...die Netzwerksicherheit (Clients zu den Servern)
Was soll das heißen "Sicherheit zu den Servern"? Mach Dich mal mit IT-Sprache vertraut, um konkret zu werden. Das ist ein Witz.
also hauptsächlich soll das Netzwerk vor Datenklau geschützt werden
...und das durch die eigenen Mitarbeiter. OK, das ist das einzig halbwegs Konkrete an dem ganzen Thread.
Die Benutzer sollen die Möglichkeit haben, auch neue Softwareupdates für Softwaretestumgebungen auf dem TS selbst zu installieren
Eine Spitzenidee... gerade auf Terminalservern erhöht sich die Sicherheit maximal, wenn man den Nutzern Installationsrechte gibt, damit gibst Du ihnen komplette Kontrolle über den Server. Da brauchst Du nicht einmal anzufangen mit den Überlegungen.

Ich lästere ungern und klicke "wenig anspruchsvoll" aus Prinzip nie, weil ich es spackig finde auf gut deutsch, aber dieses Posting auf der Suche nach "maximaler Sicherheit" ist echt eine Klasse für sich.

Zu den Tipps, die gut gemeint sind und etwas bringen sollen:
-Was schützen wir, welchen Aufwand rechtfertigt dies?
-Gegen wen schützen wir?
-Welche Angriffsvektoren gibt es?
-Welche Maßnahmen kann man ergreifen, welche Effekte haben diese Maßnahmen auf die Arbeit? <- spätestens hier musst Du mit Fachwissen anrücken, da fehlt es ganz stark auf diesem Gebiet, fürchte ich. Du kannst dazu natürlichh viele Fragen stellen, hier oder anderswo, aber was hilft das bei der Durchführung? Wie willst Du danach mit Deinem unsicheren Wissen Sicherheit erhöhen?

Du kannst jetzt mit der Fragestellung von vorn anfangen oder "die ganze Geschichte" haarklein erzählen oder es auch lassen. Ich würd es lassen. Nein, mal ehrlich:
-"Man" kann Datenklau durch Mitarbeiter beschränken, das ist nicht einfach. Wenn Du Antworten willst, dann beschreibe, was abfließen kann und wie und in welchem Maße das nicht hinnehmbar wäre.
-Wenn Du von "abschotten" sprichst, schließt sich vor meinen Augen ein Schott. Wir kennen Deine Umgebung nicht, was soll es denn nur bringen, das Wort überhaupt zu benutzen? Beschreibe, wie Arbeit möglich sein soll, dann kann man über eine Minimierung der Angriffsfläche verhandeln.

Und zu guter Letzt: nobody's perfect, ja. Aber wie Du Deine Vorgehensweise hier rüberbringst, sträubt mir die Nackenhaare. Nimm dies Kommentar dennoch freundlich auf, es soll helfen.
Bitte warten ..
Mitglied: Excaliburx
05.09.2011 um 01:14 Uhr
Hi,

vielen Dank!, dass Du trotz meiner "schlechten" Beschreibung eine Antwort gepostet hast...und Deine Kommentare kann ich voll und ganz nachvollziehen.

Warum muss man wie oben beschrieben keine Ports in der Firewall öffnen z.B. DNS, damit der TS-Farmname aufgelöst werden kann?

Geschützt werden sollen Firmendaten vor Datenklau z.B. Adressdaten etc.

Gegen die Benutzer (immer mehrere Mitarbeiter) die Zugriff zum Arbeiten auf die Firmendaten haben und die evtl. unrechtmäßig "klauen" könnten.

Die Benutzer sollen von den Clients aus keine Dateien, die auf dem Server gespeichert sind, lokal am Client auf z.B. USB-Sticks speichern können (deshalb sollen die Verbindungen zwischen Clients und Servern (Netzlaufwerke) künftig nicht mehr vorhanden sein - die Benutzer sollen auf den TS arbeiten.


Gruß
Bitte warten ..
Mitglied: DerWoWusste
05.09.2011 um 10:54 Uhr
Moin.

Geh doch mal auf die letzten beiden Spiegelstriche so detailliert ein, wie Du nur kannst. Das Posting war kein Fortschritt.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Musthave Netzwerksicherheit
Frage von 93630Sicherheitsgrundlagen12 Kommentare

Moin, wie würdet ihr das Netzwerk eines mittelständischen Unternehmens mit sensiblen/wichtigen Daten absichern? Ganz klar das Minimum ist: Firewall ...

Sicherheitsgrundlagen
Netzwerksicherheit Einführung
gelöst Frage von AlphaGenSicherheitsgrundlagen6 Kommentare

Hallo liebe Community, ich suche einen guten Einstieg in Netzwerk-Sicherheit. Mein Problem ist nicht, dass ich nichts finde, sondern ...

Vmware
PowerCLI CPU und RAM erhöhen
gelöst Frage von Florian86Vmware6 Kommentare

Hallo, ich habe mir die PowerCli runtergeladen und installiert. Nun habe ich mit den bestimmten Host connected und auch ...

Ausbildung
Arbeitszeit freiwillig erhöhen
Frage von FISI-Neuling92Ausbildung9 Kommentare

Hallo, habt Ihr Erfahrungen mit dem erhöhen der Arbeitszeit? Zur Zeit habe ich einen Arbeitsvertrag mit 38,5 (Vollzeit) und ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 14 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 20 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 23 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...