Zugriff für Computer, die nicht Mitglied der Domäne sind sperren

Hallo,

ich habe ein Problem und weiss nicht, wie ich Dieses lösen kann.

Ich möchte verhindern, dass Computern, die wir nicht in die Domäne aufgenommen haben, der Zugriff auf Inhalte der Domäne verweigert wird. Ich möchte dafür keine spezielle Technik oder Software einsetzen und die wenn möglich, es mit Bordmitteln lösen.

Hier ein Szenario welches ich verhindern möchte:

Ein Benutzer unserer Domäne kommt mit seinem privaten Notebook. Benutzt hier einen nicht autorisierten USB-Stick. Da er sein Benutzername und Kennwort kennt, kommt er auf die Netzlaufwerke und kopiert irgendetwas auf den Stick.

Nimmt er den Firmennotebook und logt sich in der Domäne ein, würde der Stick, da er nicht freigegeben ist (Spezielle Software), nicht erkannt werden.

Ich denke so an eine Prüfung von Computerkonto und Benutzer.

Für das Firmennotebook kann ich die lokale Anmeldung für Benutzer verbieten, damit die Gruppenrichtlinien der Domäne wirken. Klar kann ich den jenigen, wenn ich es mitbekomme "prügeln", mache sind aber sehr Beratungsresistent.

Vieleicht is es ja ganz einfach und ich stehe nur auf der Leitung.

Danke für eure Hilfe

Please also mark the comments that contributed to the solution of the article

Content-Key: 110578

Url: https://administrator.de/contentid/110578

Printed on: April 19, 2024 at 22:04 o'clock

13 Comments

Latest comment

guten morgen,

nutzt ihr DHCP? wenn ja, dann wäre vielleicht eine Möglichkeit, das unbekannte Rechner (MAC-Adresse) keine IP bekommen
ich weiss nur nicht, was passiert, wenn der User seinem privaten Laptop manuell eine IP aus dem gleichen Range gibt

Guten Morgen,

ja wir nehmen DHCP und arbeiten teilweise auch mit Reservierungen.

zu Deiner Frage:

Wenn jemand eine IP manuell einträgt, hat der Rechner diese IP (evt. Konflikt).

Darüber hatten wir schon nachgedacht. Einzige Lösung, die eine höhere Hürde darstellt, wären MAC-Adressen. Dafür haben wir aber Hardware bzw. Software.

Hi,

Lösungsansätze:
1. DHCP Beschränkung auf bestimmte MAC IDen ist zu unsicher - kann mit statischer IP oder gefälschter MAC ID einfach umgangen werden
2. Port Security (benötigt geeignete Switches)
3. Benutzer dürfen sich nur von bestimmten Workstations anmelden
Ablauf in etwa:
-Benutzer-Manager für die Domäne öffnen:
-Benutzer zum Bearbeiten auswählen
-in den Optionen die Workstations festlegen, von denen aus sich der Benutzer anmelden kann.

Wir benutzen eine Kombination aus 2 und 3

Gruß

Lemmi

ja, der Tipp mit den Benutzern von bestimmten Workstations ist super. Das dürfte reichen um die Bastelwut einzuschränken. in Verbindung mit der Richtlinie "lokale Anmeldung verbieten" (für Benutzer). Sollten wir schon Einiges erreicht haben.

Wir prüfen noch, ob das Umbenennen eines Fremdrechners reicht, den Schutz auszuhebeln. Ich erfahre gerade, dass es reicht den Name zu ändern (lokale WS) und der Benutzer kommt auf die Netzwerkfreigaben. Trotzdem erst einmal Dank, das Verfahren hängt die Latte erst einmal viel höher. Mit den Macadressen müssen wir mal schauen.

ähm, es geht doch lediglich um die Zugriffe auf die Netz-Freigaben.
Ginge das nicht mit den Sicherheitseinstellungen für Freigaben? Zugriff nur für "Domänencomputer" (bzw. ~controller). Oder denke ich jetzt zu einfach?

Ja, vielleicht ist es ja auch ganz einfach.

Nur da müste es eine Gruppe NichtDomänenComputer geben, der ich das Recht entziehe. Der Benutzer soll das recht ja haben, nur in verbindung mit dem Computer s.o.

Moin Moin

Ginge das nicht mit den Sicherheitseinstellungen für Freigaben? Zugriff nur für "Domänencomputer" (bzw. ~controller). Oder denke ich jetzt zu einfach?

Ich fürchte das tust Du. Bei den Freigabeberechtigungen kannst du keine Commputer auswählen, nur bei den NTFS Berechtigungen unterhalb der Freigabe und selbt da wäre die Funktion fraglich.
Sebst wenn das hinzukrigen wäre: Und der zugriff für alle Nicht-Domänen PC verboten wäre, sollte es kann ein normaler User einen PC in die Domäne heben!

Unabhängig von deinen technischen bemühungen, solltest du auch an diesem Punkt arbeiten:

Klar kann ich den jenigen, wenn ich es mitbekomme "prügeln", mache sind aber sehr Beratungsresistent.

Gibt es bei euch im Haus ein Richtlininepapier was auf den APC erlaubt ist und was nicht?
z.B. private Mail und INet Nutzung, Kennwortweitergabe, usw.
Solte es geben. Mit GL und Personalvert. absprechen und von allen Usern unterschreiben lassen.
Ein solches Papier das evtl. noch Passagen enthält wie: Abmahnung bei zuwiderhandlung, usw. solte selbst den resistentisten Anwender auf Spur bringen.

"Sprich milde, aber trage einen großen Stock bei dir." ( Roosevelt, Theodore)

Gruß L.

Ja, dass gibt es. Das Problem ist, es wird zu unserem Ärger anders gelebt.

Mit diesen Maßnahmen wollen wir nur erreichen, dass man uns nicht Fahrlässigkeit vorwirft, wenn mal was passiert. Die Geschäftführung hatten wir schon einmal davon unterrichtet und jetzt haben wir den Auftrag für eine technische Lösung zu sorgen.

Übrigens wurde seitens der Geschäftsführung o.g. Papier abgemildert, wir hatten arbeitsrechliche Konsequenzen gefordert, wurde aber über Betriebsrat abgeschafft.

Wir dürfen offiziell noch nicht einmal die Logs des Proxies durchsuchen tja.

Zitat von @Logan000:

> Ginge das nicht mit den Sicherheitseinstellungen für
> Freigaben? Zugriff nur für "Domänencomputer" (bzw.
> ~controller). Oder denke ich jetzt zu einfach?
Ich fürchte das tust Du. Bei den Freigabeberechtigungen kannst
du keine Commputer auswählen, nur bei den NTFS Berechtigungen
unterhalb der Freigabe

Hmm... ich hab das grad mal versucht - die globale Gruppe "Domänencomputer" kann ich bei der Freigabeberechtigung hinzufügen. (Active Directory)
Fragt sich natürlich was das dann tatsächlich für Auswirkungen hat.

....., sollte es kann ein normaler
User einen PC in die Domäne heben!

??? Das wäre mir neu - ausser dem User ist es per Policy explizit erlaubt.