Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Clientcomputer zugriff auf Remote sperren

Frage Microsoft Windows Server

Mitglied: 113726

113726 (Level 2)

05.11.2013 um 06:16 Uhr, 3235 Aufrufe, 35 Kommentare, 3 Danke

Hallo,

wir haben leider etwas "Zoff" mit unserm Servicetechniker, der unseren SBS damals aufgestellt hat.

Er hat sich schon einmal "beabsichtigt" auf unseren Server von Fern geschaltet und ich will ihn jetzt sperren, nicht das er irgendwie aus Frust Misst macht.

Ich denke das Admin Passwort ändern reicht nicht.

Was könnte ich noch ändern, um zb auch die VPN Verbindung zu sperren für die feste IP? Ohne VPN Verbindung kann er ja nicht zugreifen.

Danke im Voraus.

Manuel
35 Antworten
Mitglied: SlainteMhath
05.11.2013 um 08:25 Uhr
Moin,

hängt der SBS "direkt" am Internet oder gibt's eine Firewall/VPN Appliance "vorne dran"?
Wie verbindet er sich denn? Remote Desktop? VNC? TeamViewer und Konsorten?

Admin Passwort ändern wäre zumindest mal ein Anfang.

lg,
Slainte
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 08:39 Uhr
Moin Slainte,

also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)

Er verbindet sich per Remote Desktop.

Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
Bitte warten ..
Mitglied: Arch-Stanton
05.11.2013 um 08:39 Uhr
Kan mir gut vorstellen, daß euer Servicetechniker genervt ist. Wenn jemand an den von mir installierten System mit seinem Halbwissen herumdoktert und im Schadensfall auf mich verweist, dann reagiere ich auch nicht unbedingt sehr freundlich...

Gruß, Arch Stanton
Bitte warten ..
Mitglied: 113726
05.11.2013 um 08:41 Uhr
Glaub mir, hier liegt die Schuld nicht an uns. Geht eben um nicht bezahlte Rechnungen zurrecht. Da muss erst ein Gespräch stattfinden. Aber ich will nur vorkehrmaßnahmen treffen.
Bitte warten ..
Mitglied: SlainteMhath
05.11.2013 um 08:42 Uhr
Zitat von 113726:
Moin Slainte,

also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Und, gibts eine Portweiterleitung? Oder ist auf der Fritz ein VPN Zugang eingerichtet?

Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
Ja kannst du. Evtl. solltest Du dir aber mal überlegen jemand zu beauftragen der Ahnung von SBS Umgebungen hat sonst sitzt du uU schnell vor einem Scherbenhaufen.
Bitte warten ..
Mitglied: 113726
05.11.2013 um 08:51 Uhr
Ja in der Fritzbox gibt es eine Weiterleitung VPN.

Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 09:04 Uhr
Zitat von 113726:
Ja in der Fritzbox gibt es eine Weiterleitung VPN.

Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.

bis die katastrophe kommt.

1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1
Bitte warten ..
Mitglied: killtec
05.11.2013 um 09:15 Uhr
Hi,
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).

Gruß
Bitte warten ..
Mitglied: 113726
05.11.2013 um 09:29 Uhr
Zitat von killtec:
Hi,
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).

Gruß

Leider benötige ich VPN selbst, um im Notfall von daheim oder unterwegs aus zu helfen.
Bitte warten ..
Mitglied: 113726
05.11.2013 um 09:34 Uhr
Zitat von ticuta1:
> Zitat von 113726:
> ----
> Ja in der Fritzbox gibt es eine Weiterleitung VPN.
>
> Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.

bis die katastrophe kommt.

1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1

zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
zu 2: siehe oben, geht leider nicht da ich selbst VPN benötige. Sonst kann ich ja nicht von daheim aus bzw. mit dem Smartphone auf dem Server zugreifen ohne VPN oder?
zu 3: er hat keinen eigenen Account. Er loggt sich als Administrator ein.
zu 4: das weiß ich leider nicht
zu 5: er kennt die Kennwörter bzw. das Kennwort der VPN Verbindung und des SBS Administrators

Bisher hat Google selbst bei schwierigen Aufgaben geholfen. Es muss auch Frischlinge in der SBS Administration geben, da muss man nicht immer gleich eine Firma heran holen. Und wenn es wirklich kompliziert wird, haben wir immer noch eine an der Hand.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 09:46 Uhr
Zitat von 113726:
> Zitat von ticuta1:
> ----
> > Zitat von 113726:
> > ----
> > Ja in der Fritzbox gibt es eine Weiterleitung VPN.
> >
> > Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
>
> bis die katastrophe kommt.
>
> 1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
> 2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
> 3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
> 4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
> 5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
> du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
> LG, ticuta1

zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
dann für dich einen zweiten admin einrichten [der vorhandenen klonen] und dann der standardadmin deaktivieren.

zu 2: siehe oben, geht leider nicht da ich selbst VPN benötige. Sonst kann ich ja nicht von daheim aus bzw. mit dem
Smartphone auf dem Server zugreifen ohne VPN oder?
ein persönliches VPN konto erstellen, testen und dann sein sperren.
zu 3: er hat keinen eigenen Account. Er loggt sich als Administrator ein.
s. antwort auf 1.
zu 4: das weiß ich leider nicht
dan überprüfe das ;) so schwierig ist es nicht
zu 5: er kennt die Kennwörter bzw. das Kennwort der VPN Verbindung und des SBS Administrators
wenn nur dei beiden ... kanst du ihm schnell sperren und vergisst nicht dass einen Eventlog auf DC gibt der alles protokoliert.

Bisher hat Google selbst bei schwierigen Aufgaben geholfen. Es muss auch Frischlinge in der SBS Administration geben, da muss man
nicht immer gleich eine Firma heran holen. Und wenn es wirklich kompliziert wird, haben wir immer noch eine an der Hand.

PS Juristisch ist das mit einen einzigen Admin nicht sauber

LG, ticuta1
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 10:32 Uhr
Danke dir

Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja das gleiche dabei raus kommen.

Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich nicht.

zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?

zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.

Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS Installation erstellt wird. Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der deaktiviert ist, aber er ist bestimmt versteckt)
Bitte warten ..
Mitglied: ticuta1
05.11.2013, aktualisiert um 10:59 Uhr
Zitat von 113726:
Danke dir
bitte

Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja
das gleiche dabei raus kommen.
ja, mit manche risikos...s.u.

Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich
nicht.
hoffen wir. VNC /Teamviewer usw ausgeschloßen?

zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?

welche SBS hast du?
zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff
erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
wie sind die zugriffrichtlinien bei wiederhollten falschangabe des kennworts? (kontosperrung nach 5 falsche angaben? făr 24 stunden oder für 30 min? welche dienste wären in diesem fall betroffen?

Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS
Installation erstellt wird.
wenn zwei oder mehreren Admins auf dem server zugriff haben...dann getrennten konten. damit man einen übeltäter entdecken kann.
Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der
deaktiviert ist, aber er ist bestimmt versteckt)
locale admin wird nicht in AD gelistet sonder in der lokale benutzergruppe

LG,
ticuta1
Bitte warten ..
Mitglied: VGem-e
05.11.2013 um 11:11 Uhr
Hallo,

mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:

Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen Gründen nicht mehr will/kann.

Gruß,
VGem-e
Bitte warten ..
Mitglied: 113726
05.11.2013 um 11:22 Uhr
Zitat von ticuta1:
hoffen wir. VNC /Teamviewer usw ausgeschloßen?
Es liegt zwar eine setupdatei von Teamviewer auf dem Desktop, aber installiert ist das Programm nicht. War wohl mal für die Zukunft gedacht.
welche SBS hast du?
SBS 2011 Standard
wie sind die zugriffrichtlinien bei wiederhollten falschangabe des kennworts? (kontosperrung nach 5 falsche angaben? făr 24
stunden oder für 30 min? welche dienste wären in diesem fall betroffen?
Da haben wir nichts hinterlegt in den GPOs. Kontosperrungsschwelle ist auf 0 ungültige Anmeldeversuche.
wenn zwei oder mehreren Admins auf dem server zugriff haben...dann getrennten konten. damit man einen übeltäter
entdecken kann.
OK also füge ich einfach im AD einen neuen User hinzu und gebe ihn Adminrechte bzw. wenn ich eh den Zugriff für ihn sperren will, dann brauch es ja nur weiterhin einen Admin.
locale admin wird nicht in AD gelistet sonder in der lokale benutzergruppe
OK perfekt danke

LG
Manuel
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 11:24 Uhr
Zitat von VGem-e:
Hallo,

mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:

Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen
Gründen nicht mehr will/kann.

Gruß,
VGem-e

Danke für den Tipp, dann lege ich mir auch mal einen zweiten An. Ich kopiere ihn einfach im AD.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 11:39 Uhr
hallo wieder,
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1
Bitte warten ..
Mitglied: killtec
05.11.2013 um 12:06 Uhr
Hi,
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.

Gruß
Bitte warten ..
Mitglied: Manfred15
05.11.2013, aktualisiert um 13:12 Uhr
Hallo,

eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.

Beste Grüße
Manfred
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 13:20 Uhr
Zitat von ticuta1:
hallo wieder,
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1

Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte
Bitte warten ..
Mitglied: 113726
05.11.2013 um 13:24 Uhr
Zitat von killtec:
Hi,
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.

Gruß


Hi und danke,

Port 1723 habe ich umgeleitet, GRE aber noch nicht. Bisher ging es aber auch ohne.
Macht es wirklich Sinn, dann Software aufzuspielen um den VPN Tunnel direkt in der FB einzurichten?
Kennwort der Box ist umgeändert.
Bitte warten ..
Mitglied: 113726
05.11.2013 um 13:25 Uhr
Zitat von Manfred15:
Hallo,

eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er
diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.

Beste Grüße
Manfred

Interessante Idee, nur die Frage ob es dann nicht mit anderen Programmen Probleme gibt?
Bitte warten ..
Mitglied: Manfred15
05.11.2013 um 13:32 Uhr
Interessante Idee, nur die Frage ob es dann nicht mit anderen Programmen Probleme gibt?


Ich wüsste nicht warum? Du musst natürlich einen Port aussuchen, der nicht bereits genutzt wird.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 14:06 Uhr
hallo,
dagegen spricht die benutzung eines einfachen portscanners
LG, ticuta1
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 14:07 Uhr
Zitat von 113726:
> Zitat von ticuta1:
> ----
> hallo wieder,
> wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
> LG,
> ticuta1

Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze
AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte

es ist einen weiteren AdminKonto der für spezielle / Notfallaufgaben benutzt werden kann :D
Bitte warten ..
Mitglied: Manfred15
05.11.2013 um 14:22 Uhr
Zitat von ticuta1:

dagegen spricht die benutzung eines einfachen portscanners
LG, ticuta1


Ist schon klar, ab wenn man ihm die Nutzung eines Portscanners nachweisen kann - z.B. dadurch, dass man feststellt, dass er sich trotzdem aufgeschaltet hat - dann geht dies schon über die normale Fernwartung in Richtung Hacking hinaus

Beste Grüße
Manfred
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 14:37 Uhr
wenn er dumm ist, ja!
aber wenn er ein wenig gehirn hat?
LG,
ticuta1
Bitte warten ..
Mitglied: 113436
05.11.2013 um 17:04 Uhr
hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
Bitte warten ..
Mitglied: SlainteMhath
06.11.2013 um 08:09 Uhr
Zitat von 113436:
hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco

Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
Bitte warten ..
Mitglied: kontext
06.11.2013, aktualisiert um 08:53 Uhr
Zitat von SlainteMhath:
Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
Hi Slainte,

sei doch nicht gleich so ...
... es ist ja nicht so, dass sich 113436 das erste Mal durch solche Aussagen ins Abseits schießt ...
... man kann ja grad froh sein, dass er hier seinen Nonplus-Ultra Tipp Neuinstallation nicht gebracht hat
... für alle die nicht wissen was ich meine: http://www.administrator.de/forum/beim-versuch-zu-drucken-friert-der-re ...
... und mit der Groß- / Kleinschreibung sieht es der User auch nicht so eng - wird ja überbewertet Heutzutage ...

Gruß
kontext
Bitte warten ..
Mitglied: Lochkartenstanzer
06.11.2013 um 08:56 Uhr
Moin,

Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:

"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.

wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie paranoid man ist):

  • Zwangsweise alle(!) Paßwöter ändern, bzw. die Benutzer zwingen, diese zu ändern. Lokale Konten nicht vergessen!
  • Fritzbox gegen ordentlichen Router/Firewall austauschen.
  • In der FW erstmal alles dichtmachen und Verbindungsversuche rein und raus protokollieren.
  • VPN mit Zertifikaten einrichten.
  • Verbindungen nach draußen über proxy leiten.
  • zumindest Server und "wichtige" Arbeitsstationen nach Hintergrundprogrammen scannen.
  • Drucker und andere Netzwerkgeräte nicht aus dem Fokus verlieren. Mit diesen kann man über "Fernverwaltung" auch genug Blödsinn anstellen.

lks

PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind. Das vermeidet Mißverständnisse.
Bitte warten ..
Mitglied: 113726
08.11.2013 um 07:40 Uhr
Zitat von Lochkartenstanzer:
Moin,

Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:

"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.

Nunja eigentlich schon, ja. Aber durch die ganze Sache jetzt kann natürlich ein Misstrauen entstehen. Und da gehe ich lieber auf Nummer sicher.
wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie
paranoid man ist):

  • Zwangsweise alle(!) Paßwöter ändern, bzw. die Benutzer zwingen, diese zu ändern. Lokale Konten nicht
vergessen!
Werde ich machen!
* Fritzbox gegen ordentlichen Router/Firewall austauschen.
Ist schon in Arbeit.
* In der FW erstmal alles dichtmachen und Verbindungsversuche rein und raus protokollieren.
OK
* VPN mit Zertifikaten einrichten.
Da muss ich mich schlau machen, wie das machbar ist.
* Verbindungen nach draußen über proxy leiten.
OK schau ich mir ebenfalls an.
* zumindest Server und "wichtige" Arbeitsstationen nach Hintergrundprogrammen scannen.
OK
* Drucker und andere Netzwerkgeräte nicht aus dem Fokus verlieren. Mit diesen kann man über "Fernverwaltung"
auch genug Blödsinn anstellen.
Danke für den Tipp.

lks

PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind.
Das vermeidet Mißverständnisse.
Wenn er weiterhin "unser" Dienstleister bleibt, dann werden wir das auch machen, thx.

Manuel
Bitte warten ..
Mitglied: 113436
08.11.2013 um 13:37 Uhr
Hallo,
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
marco
Bitte warten ..
Mitglied: mc-doubleyou
08.11.2013 um 15:59 Uhr
Hey,

keine Ahnung ob die Antwort jetzt ober schon war, aber ich sags trotzdem mal.
Wenn RDP genutzt wird muss es ein Portforwarding geben, wenn du nun statt Port 3389 (RDP) einen anderen nominierst kommt man von extern nicht mehr drauf außer man weiß den neuen Port.

Also statt 3389 => rechner:3389 auf zB.: 63389 => rechner:3389 ändern.

Nur so ein Gedanke.

LG mcdy
Bitte warten ..
Mitglied: Lochkartenstanzer
08.11.2013 um 17:20 Uhr
Zitat von 113436:
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)

Muß er ins Internet?

Abgesehen davon war ja die Rede vom kontrollierten Zugang ins Internet, wie z.B. Application level Proxy, wünschenswerterweise gelcih mit Authentifikation. Dann fällt halt auf, wenn Software versucht "nach Hause zu telefonieren".

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Router & Routing
gelöst MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (2)

Frage von JulianOhm zum Thema Windows Server ...

Datenschutz
gelöst USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...