Windows Fileserver - Zugriff auf Geräteebene
Hallo werte Administratoren,
ich suche im Kundenauftrag nach einer Möglichkeit eine Netzwerkfrigabe (Windowsfileserver) den Zugriff geräteabhängig zu machen.
Folgender Hintergrund:
Das Unternehmen muss eine Mehrfaktorauthentifizierung für den Zugriff auf Externe Drittdaten einführen (ISO27001). Die 2Faktor-Authentifizierung soll hier nicht Thema sein. Es soll aber auch sichergestellt sein, dass sensible Daten auf einem Windows Share liegen. Aus finanziellen Gründen soll nun nicht jeder Client-Rechner mit einer 2Faktor-Authentifizierung ausgestattet werden, was mich vor ein kleines Problem stellt.
User Meyer sitzt im Normalfall in seinem Büro und hat auf seinem Rechner die 2FA installiert. Er muss sich mit Benutzername, Passwort und 2nd Factor anmelden und hat durch entsprechende Benutzerfreigaben Zugriff auf das Share mit den sensiblen Daten. Nun muss Meyer in den Besprechungsraum an einen PC ohne die Software für den 2nd Factor und kann sich normal anmelden (mittels Passwort) UND hat leider auch dort Zugriff auf das Share (Windows Shares = Benutzerfreigabe). Nach meinem Wissen funktioniert eine Gerätefreigabe für Windows Shares leider nicht. Korrekt?
Ich leide vermutlich schon an Tunnelblick und finde keine Lösung zu dem Problem. Hat irgendjemand eine Idee, wie ich eine geräteabhängige Netzwerkfreigabe hinbekomme oder wie ich es generell lösen könnte. Es muss kein Windows Freigabe sein. Bin auch für nicht ganz konkrete Hinweise dankbar.
ich suche im Kundenauftrag nach einer Möglichkeit eine Netzwerkfrigabe (Windowsfileserver) den Zugriff geräteabhängig zu machen.
Folgender Hintergrund:
Das Unternehmen muss eine Mehrfaktorauthentifizierung für den Zugriff auf Externe Drittdaten einführen (ISO27001). Die 2Faktor-Authentifizierung soll hier nicht Thema sein. Es soll aber auch sichergestellt sein, dass sensible Daten auf einem Windows Share liegen. Aus finanziellen Gründen soll nun nicht jeder Client-Rechner mit einer 2Faktor-Authentifizierung ausgestattet werden, was mich vor ein kleines Problem stellt.
User Meyer sitzt im Normalfall in seinem Büro und hat auf seinem Rechner die 2FA installiert. Er muss sich mit Benutzername, Passwort und 2nd Factor anmelden und hat durch entsprechende Benutzerfreigaben Zugriff auf das Share mit den sensiblen Daten. Nun muss Meyer in den Besprechungsraum an einen PC ohne die Software für den 2nd Factor und kann sich normal anmelden (mittels Passwort) UND hat leider auch dort Zugriff auf das Share (Windows Shares = Benutzerfreigabe). Nach meinem Wissen funktioniert eine Gerätefreigabe für Windows Shares leider nicht. Korrekt?
Ich leide vermutlich schon an Tunnelblick und finde keine Lösung zu dem Problem. Hat irgendjemand eine Idee, wie ich eine geräteabhängige Netzwerkfreigabe hinbekomme oder wie ich es generell lösen könnte. Es muss kein Windows Freigabe sein. Bin auch für nicht ganz konkrete Hinweise dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 279800
Url: https://administrator.de/contentid/279800
Ausgedruckt am: 28.03.2024 um 18:03 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
wenn ein Benuztzer auf eine Freigabe zugreift, passiert das im Kontext des Benutzerkontos.
Man kann zwar Komputerkonten in die ACL einfügen und verweigern was man will, aber soweit ich weiß greift das nicht, da der Benutzer zugreift und nicht Computer X das nicht.
Eine sehr aufwändige Lösung wäre unter Verwendung eines Separaten Fileservers und einer Unternehmens CA denkbar.
Der Fileserver akzempiert nur verschlüsselte Verbindungen und nur Rechner von denen ein Zugriff erfolgen darf bekommen ein Zertifikat ausgestellt.
(Server nicht vergessen)
Dann lehnt der Fileserver alles das nicht verschlüsselt ist ab.
Ansonsten kenn ich nix was man mit Bordmitteln da erreichen könnte, wäre aber von Interesse .
Gruß
Chonta
wenn ein Benuztzer auf eine Freigabe zugreift, passiert das im Kontext des Benutzerkontos.
Man kann zwar Komputerkonten in die ACL einfügen und verweigern was man will, aber soweit ich weiß greift das nicht, da der Benutzer zugreift und nicht Computer X das nicht.
Eine sehr aufwändige Lösung wäre unter Verwendung eines Separaten Fileservers und einer Unternehmens CA denkbar.
Der Fileserver akzempiert nur verschlüsselte Verbindungen und nur Rechner von denen ein Zugriff erfolgen darf bekommen ein Zertifikat ausgestellt.
(Server nicht vergessen)
Dann lehnt der Fileserver alles das nicht verschlüsselt ist ab.
Ansonsten kenn ich nix was man mit Bordmitteln da erreichen könnte, wäre aber von Interesse .
Gruß
Chonta
Hallo zusammen,
also ich denke das haben andere Firmen ja auch umsetzen müssen und die haben es eben so
hinbekommen das durchgehend eine 2FA im Unternehmen eingeführt und umgesetzt wurde.
Ihr werdet sicherlich noch ein Audit dazu bekommen und wenn dort dann etwas fehlt oder
etwas fehlerhaftes festgestellt wird, gibt es in der Regel ein Nachaudit zu horrenden Preisen!
doch schon Deine Gehaltsgruppe oder? Was ist wenn etwas schief läuft, sagst Du dann
auch das sind die anderen gewesen?
Also man kann sicherlich Geräte wie folgt Authentifizieren;
- via AD & LDAP mittels Name und Passwort
- via Radius Server mit Zertifikat das auf dem gerät installiert ist
- Am File Server oder lieber gleich am SharePoint mittels Rechten
Die Regulierung kann via VLANs & Switch ACLs und/oder Firewallregeln stattfinden
man könnte auch noch Snort mit ins Spiel bringen und damit dann aktiv gegen
Missbrauchsversuche von anderen PCs einzuschreiten, allerdings ist das schon
mittels des Radiuszertifikates (nicht exportierbar) erledigt!
Und der Benutzer Account kann schnell deaktiviert werden und die Zertifikate zurückgezogen!
Gruß
Dobby
also ich denke das haben andere Firmen ja auch umsetzen müssen und die haben es eben so
hinbekommen das durchgehend eine 2FA im Unternehmen eingeführt und umgesetzt wurde.
Ihr werdet sicherlich noch ein Audit dazu bekommen und wenn dort dann etwas fehlt oder
etwas fehlerhaftes festgestellt wird, gibt es in der Regel ein Nachaudit zu horrenden Preisen!
Meine Meinung, aber die Entscheidung ist nicht meine Gehaltsgruppe
Nein aber das umsetzen und das sicherstellen das man eine Abnahme bekommt istdoch schon Deine Gehaltsgruppe oder? Was ist wenn etwas schief läuft, sagst Du dann
auch das sind die anderen gewesen?
Also man kann sicherlich Geräte wie folgt Authentifizieren;
- via AD & LDAP mittels Name und Passwort
- via Radius Server mit Zertifikat das auf dem gerät installiert ist
- Am File Server oder lieber gleich am SharePoint mittels Rechten
Die Regulierung kann via VLANs & Switch ACLs und/oder Firewallregeln stattfinden
man könnte auch noch Snort mit ins Spiel bringen und damit dann aktiv gegen
Missbrauchsversuche von anderen PCs einzuschreiten, allerdings ist das schon
mittels des Radiuszertifikates (nicht exportierbar) erledigt!
Und der Benutzer Account kann schnell deaktiviert werden und die Zertifikate zurückgezogen!
Gruß
Dobby