seether80
Goto Top

Windows Fileserver - Zugriff auf Geräteebene

Hallo werte Administratoren,

ich suche im Kundenauftrag nach einer Möglichkeit eine Netzwerkfrigabe (Windowsfileserver) den Zugriff geräteabhängig zu machen.
Folgender Hintergrund:
Das Unternehmen muss eine Mehrfaktorauthentifizierung für den Zugriff auf Externe Drittdaten einführen (ISO27001). Die 2Faktor-Authentifizierung soll hier nicht Thema sein. Es soll aber auch sichergestellt sein, dass sensible Daten auf einem Windows Share liegen. Aus finanziellen Gründen soll nun nicht jeder Client-Rechner mit einer 2Faktor-Authentifizierung ausgestattet werden, was mich vor ein kleines Problem stellt.
User Meyer sitzt im Normalfall in seinem Büro und hat auf seinem Rechner die 2FA installiert. Er muss sich mit Benutzername, Passwort und 2nd Factor anmelden und hat durch entsprechende Benutzerfreigaben Zugriff auf das Share mit den sensiblen Daten. Nun muss Meyer in den Besprechungsraum an einen PC ohne die Software für den 2nd Factor und kann sich normal anmelden (mittels Passwort) UND hat leider auch dort Zugriff auf das Share (Windows Shares = Benutzerfreigabe). Nach meinem Wissen funktioniert eine Gerätefreigabe für Windows Shares leider nicht. Korrekt?
Ich leide vermutlich schon an Tunnelblick und finde keine Lösung zu dem Problem. Hat irgendjemand eine Idee, wie ich eine geräteabhängige Netzwerkfreigabe hinbekomme oder wie ich es generell lösen könnte. Es muss kein Windows Freigabe sein. Bin auch für nicht ganz konkrete Hinweise dankbar.

Content-Key: 279800

Url: https://administrator.de/contentid/279800

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 10.08.2015 um 15:36:36 Uhr
Goto Top
Hallo Seether,

auf Dauer dürfte eine "mal so, mal so" Bastellösung (auch wegen Wartung) teurer kommen als eine durchgängige Etablierung der 2FA.

Just my...2-5 Cents.

VG
Mitglied: Seether80
Seether80 10.08.2015 um 15:41:21 Uhr
Goto Top
Meine Meinung, aber die Entscheidung ist nicht meine Gehaltsgruppe
Mitglied: Chonta
Chonta 10.08.2015 aktualisiert um 16:00:22 Uhr
Goto Top
Hallo,

wenn ein Benuztzer auf eine Freigabe zugreift, passiert das im Kontext des Benutzerkontos.
Man kann zwar Komputerkonten in die ACL einfügen und verweigern was man will, aber soweit ich weiß greift das nicht, da der Benutzer zugreift und nicht Computer X das nicht.

Eine sehr aufwändige Lösung wäre unter Verwendung eines Separaten Fileservers und einer Unternehmens CA denkbar.
Der Fileserver akzempiert nur verschlüsselte Verbindungen und nur Rechner von denen ein Zugriff erfolgen darf bekommen ein Zertifikat ausgestellt.
(Server nicht vergessen)
Dann lehnt der Fileserver alles das nicht verschlüsselt ist ab.

Ansonsten kenn ich nix was man mit Bordmitteln da erreichen könnte, wäre aber von Interesse face-big-smile.

Gruß

Chonta
Mitglied: 108012
108012 10.08.2015 um 17:56:36 Uhr
Goto Top
Hallo zusammen,

also ich denke das haben andere Firmen ja auch umsetzen müssen und die haben es eben so
hinbekommen das durchgehend eine 2FA im Unternehmen eingeführt und umgesetzt wurde.

Ihr werdet sicherlich noch ein Audit dazu bekommen und wenn dort dann etwas fehlt oder
etwas fehlerhaftes festgestellt wird, gibt es in der Regel ein Nachaudit zu horrenden Preisen!

Meine Meinung, aber die Entscheidung ist nicht meine Gehaltsgruppe
Nein aber das umsetzen und das sicherstellen das man eine Abnahme bekommt ist
doch schon Deine Gehaltsgruppe oder? Was ist wenn etwas schief läuft, sagst Du dann
auch das sind die anderen gewesen?

Also man kann sicherlich Geräte wie folgt Authentifizieren;
- via AD & LDAP mittels Name und Passwort
- via Radius Server mit Zertifikat das auf dem gerät installiert ist
- Am File Server oder lieber gleich am SharePoint mittels Rechten

Die Regulierung kann via VLANs & Switch ACLs und/oder Firewallregeln stattfinden
man könnte auch noch Snort mit ins Spiel bringen und damit dann aktiv gegen
Missbrauchsversuche von anderen PCs einzuschreiten, allerdings ist das schon
mittels des Radiuszertifikates (nicht exportierbar) erledigt!

Und der Benutzer Account kann schnell deaktiviert werden und die Zertifikate zurückgezogen!

Gruß
Dobby