Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nur bestimmte Rechner in der Domäne zulassen

Frage Microsoft Windows Server

Mitglied: jimmybondi

jimmybondi (Level 1) - Jetzt verbinden

13.08.2008, aktualisiert 14.08.2008, 6809 Aufrufe, 23 Kommentare

Hi Leute,

ich habe einen Windows SBS 2k3 R2 im Einsatz und möchte die Domäne so einrichten (absichern), dass nur bestimmte Rechner (IP, besser MAC) auf den Server zugreifen dürfen.

Wie kann ich das am besten regeln? Geht das über eine Gruppenrichtlinie bzw. eine lokale Richtlinie auf dem Server selber?


Gruß
Stefan
Mitglied: SarekHL
13.08.2008 um 21:13 Uhr
Eine Gruppenrichtlinie gilt ja nur dann, wenn die Rechner schon Mitglied der Domäne sind ...
Bitte warten ..
Mitglied: jimmybondi
13.08.2008 um 21:24 Uhr
Stimmt, da muss ich Dir recht geben. Aber wie sieht es dann mit einer lokalen Richtlinie aus, die ich direkt am Server vornehme? Gibt es vielleicht eine andere Lösung? Hintergrund ist, dass keine privaten Rechner (Notebooks, etc.) ins Netzwerk zugelassen werden sollen bzw. diese Geräte keinen Zugriff auf den Server erhalten sollen.
Bitte warten ..
Mitglied: SarekHL
13.08.2008 um 21:28 Uhr
Hmm, also brauchst Du praktisch eine Richtlinie, daß nur Domänenmitglieder auf den Server zugreifen dürfen. Müßte man mal googeln ...
Bitte warten ..
Mitglied: TraceHard40
13.08.2008 um 21:34 Uhr
Wenn du z.B. eine Freigabe am Server hast, können ja, wenn du die Sicherheitseinstellungen pflegst auch nur Domänen-Mitglieder darauf zugreifen.

In die Domäne an sich kommen die Clients ja eh nur mit dem Dom-Admin.

Mit freundlichen Grüßen,
TraceHard
Bitte warten ..
Mitglied: SarekHL
13.08.2008 um 21:38 Uhr
DHCP aus und nur noch mit Reservierungen arbeiten.

Wenn Du den DHCP-Server ausschaltest, wie sollen dann die Reservierungen funktionieren?

Und wenn ein Benutzer den IP-Bereich des Netzwerks kennt, kann er sein Privat-Notebook auch manuell darauf einstellen.


Aber wenn du z.B. eine Freigabe am Server
hast, können ja, wenn du die Sicherheitseinstellungen
pflegst auch nur Domänen-Mitglieder darauf zugreifen.

Jein! Wenn Du auf dem Notebook einen lokalen Benutzer mit dem gleichen Benutzernamen und dem gleichen Kennwort anlegst, kommt der auch rein. Zumindest in der Standardeinstellung. Ganz so einfach wird es also wohl nicht.
Bitte warten ..
Mitglied: TraceHard40
13.08.2008 um 21:41 Uhr
//Fehler erkannt und editiert... "ausschalten" war in diesem Zusammenhang nicht wörtlich zu nehmen.
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
13.08.2008 um 22:10 Uhr
Buenas noches,

ich habe einen Windows SBS 2k3 R2 im Einsatz und möchte die Domäne so einrichten (absichern),


du glaubst doch nicht allen Enstes, dass du mit dynamischen "DHCP-Server"
oder statischen IP-Adressen /Sicherheit/ im Netzwerk erreichst?
Sicherheit fängt bereits an der Eingangstür zu dem Gebäude an, nicht erst wenn jemand
ein Netzwerkkabel in seinen Laptop stecken kann.

Wenn du nicht möchtest, dass fremde Systeme an der Netzwerkkommunikation teilnehmen,
benötigst du z.B. IPSEC. Damit würde ein Client zwar trotzdem eine IP-Adresse vom DHCP erhalten,
jedoch kann der Client diesmal *nicht* an der Netzwerkkommunikation teilnehmen.

Eine Alternative zu IPSEC wäre 802.1x oder zu Zeiten des Windows Server 2008 "NAP".


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: 15187
13.08.2008 um 22:37 Uhr
In die Domäne an sich kommen die Clients ja eh nur mit dem Dom-Admin.
Falsch! Jeder Domänen-Benutzer darf per Default 10 PCs in die Domäne integrieren.
Bitte warten ..
Mitglied: 15187
13.08.2008 um 22:48 Uhr
Bei der Fragestellung wage ich anzuzweifeln, dass er hier mit IPSEC seine Freude haben wird. Technisch zwar die schnellste Lösung, aber man muss das schon beherrschen, damit man sich nicht selbst ausschließt - ist schnell passiert.
Wenn er das dennoch machen will, sollte die DefaultDomainPolicy auf "Clients-Antworten" und die DefaultDCPolicy auf "Server - REQUIRE" (also "Sicherer Server-Erforderlich") eingestellt sein. Wobei wir hier bedenken müssen, es handelt sich dabei lediglich um Vertraulichkeit und Datenintegrität der Pakete.
Das schützt ihn leider nicht davor, dass jemand seinen PC ans Netzwerk anschließt, seine lokale Richtlinie umstellt und somit wieder mit den Servern kommunizieren kann. Der betroffene User muss dann jedoch noch Domänen-Benutzer sein, um seinen PC in die Domäne zu integrieren.

Was wirksam schützt, wäre IPSEC mit Zertifikaten, wozu er allerdings eine Zertifizierungsstelle einrichten müsste.

Eine gute Lösung ist hier immer, eine Firewall dazwischen zu schalten. Damit lässt sich steuern, welche IPs mit dem DC kommunizieren können und auf welchem Port. So kannst du DHCP-Anfragen beantworten, Rechner bekommt eine IP, aber blocke für die entsprechenden IPs den 389, 137, 138. Das sollte für's erste genügen, um den PC und den User vor den einfachen Zugriffen auf den DC zu hindern. Wohlgemerkt, es geht auch umgekehrt. Alles blocken und nur das durchlassen, was der PC am Server tun können soll. Das ist immer eine Philosophie-Frage und abhängig von vielen vorgegebenen Faktoren.

Gruß,
TC
Bitte warten ..
Mitglied: SarekHL
13.08.2008 um 22:53 Uhr
Eine gute Lösung ist hier immer, eine
Firewall dazwischen zu schalten. Damit
lässt sich steuern, welche IPs mit dem DC
kommunizieren können und auf welchem Port.

Auf die Idee hätte ich auch kommen können. Mit einer vernünftigen Firewall könnte er es sogar auf MAC-Ebene steuern. Dann bleiben nicht authorisierte Rechner ganz außenvor und kommen nicht mal an den DHCP-Server ;)
Bitte warten ..
Mitglied: 15187
13.08.2008 um 22:59 Uhr
Die Verfeinerung mit der MAC ist gut, jedoch noch aufwendiger und auch wenig hilfreich, da sie sich einfach faken läßt. Nunja, meine Lösung mit der IP hat die gleiche Macke... Feste, zum Passieren der FW erlaubte IP eintragen und man kommt wieder dran...
Scheint, als seien Zertifikate doch das vorerst sicherste Mittel. Die Frage ist, wie weit muss er gehen. Für IT-Profis wäre die IP/MAC-Filterung kein Hindernis, für den klassischen "Mein PC ist vor Viren sicher, ich hab ja die XP-Firewall an"-Verbraucher sicherlich eine unüberwindbare Hürde.
Vielleicht versorgt uns der Fragesteller mit mehr Hintergrund dazu...

Gruß,
TC
Bitte warten ..
Mitglied: jimmybondi
13.08.2008 um 22:59 Uhr
Hi,

das mit IPSec und Zertifikaten ist ja alles gut und schön, aber wie sieht es mit den Multifunktionsgeräten aus, die Dokumente einscannen und in eine Freigabe auf dem Server ablegen können?
Bitte warten ..
Mitglied: SarekHL
13.08.2008 um 23:03 Uhr
Scheint, als seien Zertifikate doch
das vorerst sicherste Mittel.

Aber Zertifikate kann man auch exportieren und auf einem anderen importieren. Sie sind benutzerabhängig, nicht maschineneabhängig. Oder habe ich da etwas übersehen?
Bitte warten ..
Mitglied: jimmybondi
13.08.2008 um 23:06 Uhr
Ich denke mal nicht, dass der "gewöhnliche" Mitarbeiter auf die Idee kommt und seine IP UND MAC Adresse zu faken. Daher halte ich die Lösung mittels Firewall für den Einsatz geeignet.

Wobei die Einrichtung einer Zertifizierungsstelle und entsprechender Konfiguration des Servers und der Clients auch in Betracht kommt, weil in absehbarer Zeit die komplette Kommunikation im Netzwerk mit IPSec verschlüsselt werden soll.

Dann werde ich mich wohl mal mit diesem Thema eingehender beschäftigen müssen.
Bitte warten ..
Mitglied: 15187
13.08.2008 um 23:07 Uhr
einfach gesagt: Pech gehabt. Das funktioniert so nicht. Aber wo Du einen Scanner hast... scan das Zertifikat ein und speichere es in der Firmware ... Qutasch, lass das! - War nur Spaß :D

Aber das Problem ist hier einfach das: Wenn DC gleich derjenige Server ist, auf dem der Dokumentenscanner Daten ablegen, wird das kompliziert. Einfacher wäre hier, den DC nur SEINEN Job machen zu lassen und für die Dokumente einen anderen Server zu verwenden. Das könntest Du dann mit MACs und IPs und Certs gut in den Griff bekommen.

Lass uns mal vorne anfangen:
1. Domänen-Benutzer dürfen 10 PCs per Default in die Domäne einbinden - abschalten!
2. Domänen-Admins dürfen das auch per Default. Nachfragen: Sollen sie das noch dürfen?

Danach stellt sich die Frage: Wer kann denn überhaupt noch welchen PC in die Domäne integrieren?

Gruß,
TC
Bitte warten ..
Mitglied: 15187
13.08.2008 um 23:08 Uhr
Sie heißen Computer-Zertifikate. Ansonsten wären sie sicherlich sinnlos. Es gibt mehr als nur Benutzer-Zertifikate und Computer-Zertifikate.
Zur Sicherung von Mails z.B....

Gruß,
TC
Bitte warten ..
Mitglied: 15187
13.08.2008 um 23:09 Uhr
Die Änderung der Netzwerkeinstellungen ist für den klassischen Domänen-Benutzer sowieso nicht möglich. Wäre also immernoch der einfachste Weg.
Gruß,
TC

Edit: Blödsinn, Denkfehler, sind ja KEINE Domänen-PCs...
Bitte warten ..
Mitglied: jimmybondi
13.08.2008 um 23:10 Uhr
Es geht darum, dass Mitarbeiter ihre privaten Rechner/ Notebooks nicht im Netzwerk einsetzen sollen. Falls sie es doch machen, sollen sie mit den privaten Geräten weder auf den Server noch ins Internet kommen. Der Zugriff auf das Internet ist nicht das große Problem, wichtiger ist, dass der Server keine Verbindungen von Geräten zulässt, die nicht explizit freigegeben sind.
Bitte warten ..
Mitglied: SarekHL
13.08.2008 um 23:11 Uhr
Da vergißt Du aber, daß es ja um private Notebooks geht. Und da ist der User in der Regel auch Administrator ...
Bitte warten ..
Mitglied: 15187
13.08.2008 um 23:14 Uhr
Schalte einen ipcop dazwischen... Kostenlos, schnell, sicher, einfach zu bedienen. Installiere das Add-On BOT und stell die Beschränkungen ein - fertig. Kann in einer guten Stunde erledigt sein, je nachdem, wieviele Server Ihr habt und wie das Netzwerk aufgebaut ist.

Gruß,
TC
Bitte warten ..
Mitglied: 15187
13.08.2008 um 23:17 Uhr
falsche Synapse erwischt :D Danke
Bitte warten ..
Mitglied: 15187
13.08.2008 um 23:25 Uhr
Das wäre ein Spaß...
Ein User kommt mit seinem Laptop ans Netzwerk, hängt ihn in die Domäne und versucht sich danach, anzumelden.
Ein guter Admin hat vorgesorgt und verwendet folgende Einstellungen:
Benutzer XY darf sich nur an Arbeitsstation WS1 und WS2 anmelden. Laptop ist aber weder noch... also schlägt das erstmal fehl.
Zweitens: Geht der Benutzer nach der Domänen-Integration nach Hause, stellt er fest, dass eine nette GPO, die auf den Container Computer greift (in der sich der Laptop momentan befindet), dafür sorgt, dass der lokale Administrator umbenannt wird. Wie, weiß der Benutzer nicht, weshalb ihm der Admin-Account nicht bekannt ist - eine Anmeldung als lokaler Admin ist dadurch unmöglich.
Bleiben zwei Dinge:
1. [Zensiert] - der Begriff ist hier nicht erlaubt, es hat was mit den Begriffen "Passwort" und "zurücksetzen" zu tun
2. Neu installieren und ggf. Daten verlieren, sofern wie üblich auf C:\

Fazit: ein mögliches Szenario, aus dem der User fürs Leben lernen sollte...

Gruß,
TC
Bitte warten ..
Mitglied: floetenfranz
14.08.2008 um 09:54 Uhr
hallöle jimmybondi

1. User unterschreiben lassen, das es untersagt ist, fremde, private Rechner ins Netzt zu stöpseln. Das Ganze ist natürlich vorher von der Geschäftsleitung abzusegnen. Ne Abmahnung wirkt manchmal Wunder...
2. Nur soviele Netzwerkdosen patchen, wie auch aktuell benötigt werden.
3. Mangebare Switche benutzen, wo Ports gesperrt/überwacht werden können.
4. mit den Usern sprechen, warum sie soetwas vorhaben.Wird wohl Gründe haben die man nicht wegwischen sollte.

salut
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Sicherheitsgrundlagen
Bestimmte VBA Makros zulassen (6)

Frage von geocast zum Thema Sicherheitsgrundlagen ...

Windows Userverwaltung
gelöst Rechner die nicht in der Domäne sind aufspüren (13)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Sicherheits-Tools
gelöst 2 faktor authentifizierung windows domäne nur bestimmte benutzer (7)

Frage von kal10bach zum Thema Sicherheits-Tools ...

Windows Server
gelöst Ausnahmeregeln in GPOs für bestimmte Benutzer in der Domäne priorisieren aber wie? (3)

Frage von ITCrowdSupporter zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...