Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Clientcomputer zugriff auf Remote sperren

Frage Microsoft Windows Server

Mitglied: 113726

113726 (Level 2)

05.11.2013 um 06:16 Uhr, 3448 Aufrufe, 35 Kommentare, 3 Danke

Hallo,

wir haben leider etwas "Zoff" mit unserm Servicetechniker, der unseren SBS damals aufgestellt hat.

Er hat sich schon einmal "beabsichtigt" auf unseren Server von Fern geschaltet und ich will ihn jetzt sperren, nicht das er irgendwie aus Frust Misst macht.

Ich denke das Admin Passwort ändern reicht nicht.

Was könnte ich noch ändern, um zb auch die VPN Verbindung zu sperren für die feste IP? Ohne VPN Verbindung kann er ja nicht zugreifen.

Danke im Voraus.

Manuel
35 Antworten
Mitglied: SlainteMhath
05.11.2013 um 08:25 Uhr
Moin,

hängt der SBS "direkt" am Internet oder gibt's eine Firewall/VPN Appliance "vorne dran"?
Wie verbindet er sich denn? Remote Desktop? VNC? TeamViewer und Konsorten?

Admin Passwort ändern wäre zumindest mal ein Anfang.

lg,
Slainte
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 08:39 Uhr
Moin Slainte,

also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)

Er verbindet sich per Remote Desktop.

Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
Bitte warten ..
Mitglied: Arch-Stanton
05.11.2013 um 08:39 Uhr
Kan mir gut vorstellen, daß euer Servicetechniker genervt ist. Wenn jemand an den von mir installierten System mit seinem Halbwissen herumdoktert und im Schadensfall auf mich verweist, dann reagiere ich auch nicht unbedingt sehr freundlich...

Gruß, Arch Stanton
Bitte warten ..
Mitglied: 113726
05.11.2013 um 08:41 Uhr
Glaub mir, hier liegt die Schuld nicht an uns. Geht eben um nicht bezahlte Rechnungen zurrecht. Da muss erst ein Gespräch stattfinden. Aber ich will nur vorkehrmaßnahmen treffen.
Bitte warten ..
Mitglied: SlainteMhath
05.11.2013 um 08:42 Uhr
Zitat von 113726:
Moin Slainte,

also zurzeit hängt nur eine Fritzbox davor dran, dann Internet. (Soll sich aber ändern)
Er verbindet sich per Remote Desktop.
Und, gibts eine Portweiterleitung? Oder ist auf der Fritz ein VPN Zugang eingerichtet?

Kann ich das Kennwort des Admins einfach im AD zurück setzen und ohne Neustart übernehmen?
Ja kannst du. Evtl. solltest Du dir aber mal überlegen jemand zu beauftragen der Ahnung von SBS Umgebungen hat sonst sitzt du uU schnell vor einem Scherbenhaufen.
Bitte warten ..
Mitglied: 113726
05.11.2013 um 08:51 Uhr
Ja in der Fritzbox gibt es eine Weiterleitung VPN.

Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 09:04 Uhr
Zitat von 113726:
Ja in der Fritzbox gibt es eine Weiterleitung VPN.

Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.

bis die katastrophe kommt.

1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1
Bitte warten ..
Mitglied: killtec
05.11.2013 um 09:15 Uhr
Hi,
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).

Gruß
Bitte warten ..
Mitglied: 113726
05.11.2013 um 09:29 Uhr
Zitat von killtec:
Hi,
dann deaktiviere doch die Weiterleitungen in der Fritzbox (Voraussetzung ist, dass sonst keiner ein VPN nutzt).

Gruß

Leider benötige ich VPN selbst, um im Notfall von daheim oder unterwegs aus zu helfen.
Bitte warten ..
Mitglied: 113726
05.11.2013 um 09:34 Uhr
Zitat von ticuta1:
> Zitat von 113726:
> ----
> Ja in der Fritzbox gibt es eine Weiterleitung VPN.
>
> Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.

bis die katastrophe kommt.

1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
LG, ticuta1

zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
zu 2: siehe oben, geht leider nicht da ich selbst VPN benötige. Sonst kann ich ja nicht von daheim aus bzw. mit dem Smartphone auf dem Server zugreifen ohne VPN oder?
zu 3: er hat keinen eigenen Account. Er loggt sich als Administrator ein.
zu 4: das weiß ich leider nicht
zu 5: er kennt die Kennwörter bzw. das Kennwort der VPN Verbindung und des SBS Administrators

Bisher hat Google selbst bei schwierigen Aufgaben geholfen. Es muss auch Frischlinge in der SBS Administration geben, da muss man nicht immer gleich eine Firma heran holen. Und wenn es wirklich kompliziert wird, haben wir immer noch eine an der Hand.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 09:46 Uhr
Zitat von 113726:
> Zitat von ticuta1:
> ----
> > Zitat von 113726:
> > ----
> > Ja in der Fritzbox gibt es eine Weiterleitung VPN.
> >
> > Ich versuche das meiste schon selber zu erledigen und bisher hat es immer mit Google und Fragen super geklappt.
>
> bis die katastrophe kommt.
>
> 1. eigentlich müßen verschiedene, nominälle, admin-kotnen eingerichtet sein.
> 2. sperrst du sein VPN zugriff, bleibt er draußen stehen.
> 3. deaktivierst du sein admin kennwort kann er auch nicht auf domäne zugreifen.
> 4. hat er vielleicht noch die domänewiederherstellungszugang bei sich?evtl die lokal admins?
> 5. kennt er vielleicht die kennwörter und die vpn-zugriffe der hälfte eurer mitarbeiter?
> du kannst versuchen es zu sperren ... google wird nicht sehr viel helfen sonder die IT sicherheitsfragenkatalog von BSI
> LG, ticuta1

zu 1: es ist wirklich nur 1 Administratorkonto angelegt im AD
dann für dich einen zweiten admin einrichten [der vorhandenen klonen] und dann der standardadmin deaktivieren.

zu 2: siehe oben, geht leider nicht da ich selbst VPN benötige. Sonst kann ich ja nicht von daheim aus bzw. mit dem
Smartphone auf dem Server zugreifen ohne VPN oder?
ein persönliches VPN konto erstellen, testen und dann sein sperren.
zu 3: er hat keinen eigenen Account. Er loggt sich als Administrator ein.
s. antwort auf 1.
zu 4: das weiß ich leider nicht
dan überprüfe das ;) so schwierig ist es nicht
zu 5: er kennt die Kennwörter bzw. das Kennwort der VPN Verbindung und des SBS Administrators
wenn nur dei beiden ... kanst du ihm schnell sperren und vergisst nicht dass einen Eventlog auf DC gibt der alles protokoliert.

Bisher hat Google selbst bei schwierigen Aufgaben geholfen. Es muss auch Frischlinge in der SBS Administration geben, da muss man
nicht immer gleich eine Firma heran holen. Und wenn es wirklich kompliziert wird, haben wir immer noch eine an der Hand.

PS Juristisch ist das mit einen einzigen Admin nicht sauber

LG, ticuta1
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 10:32 Uhr
Danke dir

Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja das gleiche dabei raus kommen.

Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich nicht.

zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?

zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.

Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS Installation erstellt wird. Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der deaktiviert ist, aber er ist bestimmt versteckt)
Bitte warten ..
Mitglied: ticuta1
05.11.2013, aktualisiert um 10:59 Uhr
Zitat von 113726:
Danke dir
bitte

Das mit dem Admin werde ich so machen, wobei ich natürlich genauso einfach das Passwort ändern kann oder? Müsste ja
das gleiche dabei raus kommen.
ja, mit manche risikos...s.u.

Er bzw. ich auch loggen uns ja direkt über das Administratorkonto mit VPN an. Einen separaten VPN Zugang hat er bzw. ich
nicht.
hoffen wir. VNC /Teamviewer usw ausgeschloßen?

zu 4: Tipps, wie ich das anstelle bzw. wo ich nachschauen muss?

welche SBS hast du?
zu 5: Naja gut, er kennt so ziemlich alle Kennwörter des SBS (außer die der Clients). Aber wenn er gar keinen Zugriff
erst hat, nützen ihn die anderen Kennwörter auch nichts.
Sperren tu ich ihn ja, in dem ich das Kennwort ändere.
wie sind die zugriffrichtlinien bei wiederhollten falschangabe des kennworts? (kontosperrung nach 5 falsche angaben? făr 24 stunden oder für 30 min? welche dienste wären in diesem fall betroffen?

Müssen es wirklich mehrere Admins sein? Theoretisch benötigt man ja nur einen uns zwar den, der automatisch bei der SBS
Installation erstellt wird.
wenn zwei oder mehreren Admins auf dem server zugriff haben...dann getrennten konten. damit man einen übeltäter entdecken kann.
Der lokale Admin ist ja eh deaktiviert. (Das hoffe ich zumindest, denn im AD seh ich keinen der
deaktiviert ist, aber er ist bestimmt versteckt)
locale admin wird nicht in AD gelistet sonder in der lokale benutzergruppe

LG,
ticuta1
Bitte warten ..
Mitglied: VGem-e
05.11.2013 um 11:11 Uhr
Hallo,

mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:

Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen Gründen nicht mehr will/kann.

Gruß,
VGem-e
Bitte warten ..
Mitglied: 113726
05.11.2013 um 11:22 Uhr
Zitat von ticuta1:
hoffen wir. VNC /Teamviewer usw ausgeschloßen?
Es liegt zwar eine setupdatei von Teamviewer auf dem Desktop, aber installiert ist das Programm nicht. War wohl mal für die Zukunft gedacht.
welche SBS hast du?
SBS 2011 Standard
wie sind die zugriffrichtlinien bei wiederhollten falschangabe des kennworts? (kontosperrung nach 5 falsche angaben? făr 24
stunden oder für 30 min? welche dienste wären in diesem fall betroffen?
Da haben wir nichts hinterlegt in den GPOs. Kontosperrungsschwelle ist auf 0 ungültige Anmeldeversuche.
wenn zwei oder mehreren Admins auf dem server zugriff haben...dann getrennten konten. damit man einen übeltäter
entdecken kann.
OK also füge ich einfach im AD einen neuen User hinzu und gebe ihn Adminrechte bzw. wenn ich eh den Zugriff für ihn sperren will, dann brauch es ja nur weiterhin einen Admin.
locale admin wird nicht in AD gelistet sonder in der lokale benutzergruppe
OK perfekt danke

LG
Manuel
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 11:24 Uhr
Zitat von VGem-e:
Hallo,

mal abgesehen von evtl. Sicherheitsbedenken bei der Nutzung des standardmäßigen Admin-Kontos:

Ich persönlich habe für unser AD einen zweiten Admin-Account angelegt, falls der Standard-Admin aus irgendwelchen
Gründen nicht mehr will/kann.

Gruß,
VGem-e

Danke für den Tipp, dann lege ich mir auch mal einen zweiten An. Ich kopiere ihn einfach im AD.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 11:39 Uhr
hallo wieder,
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1
Bitte warten ..
Mitglied: killtec
05.11.2013 um 12:06 Uhr
Hi,
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.

Gruß
Bitte warten ..
Mitglied: Manfred15
05.11.2013, aktualisiert um 13:12 Uhr
Hallo,

eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.

Beste Grüße
Manfred
Bitte warten ..
Mitglied: 113726
05.11.2013, aktualisiert um 13:20 Uhr
Zitat von ticuta1:
hallo wieder,
wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
LG,
ticuta1

Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte
Bitte warten ..
Mitglied: 113726
05.11.2013 um 13:24 Uhr
Zitat von killtec:
Hi,
nochmal zum VPN: Hast du das GRE und Port 1723 auf den SBS umgeleitet?
Du kannst auch direkt mit der Fritz!Box ein ipse VPN aufbauen. IPSec ist sicherer als PPTP.
Die Anwendungen (Frit!Box VPn + Fritz!Box VPN einrichten) gibts bei AVM.
Du solltest auch das Fritz!Box Kennwort ändern.

Gruß


Hi und danke,

Port 1723 habe ich umgeleitet, GRE aber noch nicht. Bisher ging es aber auch ohne.
Macht es wirklich Sinn, dann Software aufzuspielen um den VPN Tunnel direkt in der FB einzurichten?
Kennwort der Box ist umgeändert.
Bitte warten ..
Mitglied: 113726
05.11.2013 um 13:25 Uhr
Zitat von Manfred15:
Hallo,

eine triviale Möglichkeit wäre noch, nicht den Standadport für RDP zu nutzen sondern einen anderen. Solange er
diesen nicht weiß und nicht mit einem Portscanner schaut sollte er auch erst einmal vor die Wand fahren.

Beste Grüße
Manfred

Interessante Idee, nur die Frage ob es dann nicht mit anderen Programmen Probleme gibt?
Bitte warten ..
Mitglied: Manfred15
05.11.2013 um 13:32 Uhr
Interessante Idee, nur die Frage ob es dann nicht mit anderen Programmen Probleme gibt?


Ich wüsste nicht warum? Du musst natürlich einen Port aussuchen, der nicht bereits genutzt wird.
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 14:06 Uhr
hallo,
dagegen spricht die benutzung eines einfachen portscanners
LG, ticuta1
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 14:07 Uhr
Zitat von 113726:
> Zitat von ticuta1:
> ----
> hallo wieder,
> wie sieht´s aus mit Directory Services Restore Mode _Kennwort/Benutzer?
> LG,
> ticuta1

Dürfte ja das gleiche sein als wenn ich direkt im AD das Kennwort zurück setze oder? Ich möchte ja nicht das ganze
AD zurück setzen.
Korrigier mich bitte, wenn ich falsch liegen sollte

es ist einen weiteren AdminKonto der für spezielle / Notfallaufgaben benutzt werden kann :D
Bitte warten ..
Mitglied: Manfred15
05.11.2013 um 14:22 Uhr
Zitat von ticuta1:

dagegen spricht die benutzung eines einfachen portscanners
LG, ticuta1


Ist schon klar, ab wenn man ihm die Nutzung eines Portscanners nachweisen kann - z.B. dadurch, dass man feststellt, dass er sich trotzdem aufgeschaltet hat - dann geht dies schon über die normale Fernwartung in Richtung Hacking hinaus

Beste Grüße
Manfred
Bitte warten ..
Mitglied: ticuta1
05.11.2013 um 14:37 Uhr
wenn er dumm ist, ja!
aber wenn er ein wenig gehirn hat?
LG,
ticuta1
Bitte warten ..
Mitglied: 113436
05.11.2013 um 17:04 Uhr
hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco
Bitte warten ..
Mitglied: SlainteMhath
06.11.2013 um 08:09 Uhr
Zitat von 113436:
hallo,
in der win firewall kann man über einstellungen ändern in den ausnahmen einige verbindungen blocken probiers mal so
gruß marco

Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
Bitte warten ..
Mitglied: kontext
06.11.2013, aktualisiert um 08:53 Uhr
Zitat von SlainteMhath:
Boah, das ist ja mal ein Pro-Tipp... Sorry aber hast du dir überhaupt die Fragestellung des TE durchgelesen?!
Hi Slainte,

sei doch nicht gleich so ...
... es ist ja nicht so, dass sich 113436 das erste Mal durch solche Aussagen ins Abseits schießt ...
... man kann ja grad froh sein, dass er hier seinen Nonplus-Ultra Tipp Neuinstallation nicht gebracht hat
... für alle die nicht wissen was ich meine: http://www.administrator.de/forum/beim-versuch-zu-drucken-friert-der-re ...
... und mit der Groß- / Kleinschreibung sieht es der User auch nicht so eng - wird ja überbewertet Heutzutage ...

Gruß
kontext
Bitte warten ..
Mitglied: Lochkartenstanzer
06.11.2013 um 08:56 Uhr
Moin,

Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:

"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.

wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie paranoid man ist):

  • Zwangsweise alle(!) Paßwöter ändern, bzw. die Benutzer zwingen, diese zu ändern. Lokale Konten nicht vergessen!
  • Fritzbox gegen ordentlichen Router/Firewall austauschen.
  • In der FW erstmal alles dichtmachen und Verbindungsversuche rein und raus protokollieren.
  • VPN mit Zertifikaten einrichten.
  • Verbindungen nach draußen über proxy leiten.
  • zumindest Server und "wichtige" Arbeitsstationen nach Hintergrundprogrammen scannen.
  • Drucker und andere Netzwerkgeräte nicht aus dem Fokus verlieren. Mit diesen kann man über "Fernverwaltung" auch genug Blödsinn anstellen.

lks

PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind. Das vermeidet Mißverständnisse.
Bitte warten ..
Mitglied: 113726
08.11.2013 um 07:40 Uhr
Zitat von Lochkartenstanzer:
Moin,

Auch wenn ich recht spät in die Diskussion einsteige hier noch mein Senf dazu:

"Traut" Ihr dem Techniker? Davon hängt im wesentlichen alles weitere ab.

Nunja eigentlich schon, ja. Aber durch die ganze Sache jetzt kann natürlich ein Misstrauen entstehen. Und da gehe ich lieber auf Nummer sicher.
wenn die Antwort nein ist, dann gibt es eigentklich nur folgende grundlegende Maßnahmen (und viele weitere, je nachdem, wie
paranoid man ist):

  • Zwangsweise alle(!) Paßwöter ändern, bzw. die Benutzer zwingen, diese zu ändern. Lokale Konten nicht
vergessen!
Werde ich machen!
* Fritzbox gegen ordentlichen Router/Firewall austauschen.
Ist schon in Arbeit.
* In der FW erstmal alles dichtmachen und Verbindungsversuche rein und raus protokollieren.
OK
* VPN mit Zertifikaten einrichten.
Da muss ich mich schlau machen, wie das machbar ist.
* Verbindungen nach draußen über proxy leiten.
OK schau ich mir ebenfalls an.
* zumindest Server und "wichtige" Arbeitsstationen nach Hintergrundprogrammen scannen.
OK
* Drucker und andere Netzwerkgeräte nicht aus dem Fokus verlieren. Mit diesen kann man über "Fernverwaltung"
auch genug Blödsinn anstellen.
Danke für den Tipp.

lks

PS: Ihr solltet mit dem Dienstleister eine genaue vereinbarung treffen, ob, wie und wann Zugrfiee von außen erlaubt sind.
Das vermeidet Mißverständnisse.
Wenn er weiterhin "unser" Dienstleister bleibt, dann werden wir das auch machen, thx.

Manuel
Bitte warten ..
Mitglied: 113436
08.11.2013 um 13:37 Uhr
Hallo,
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)
marco
Bitte warten ..
Mitglied: mc-doubleyou
08.11.2013 um 15:59 Uhr
Hey,

keine Ahnung ob die Antwort jetzt ober schon war, aber ich sags trotzdem mal.
Wenn RDP genutzt wird muss es ein Portforwarding geben, wenn du nun statt Port 3389 (RDP) einen anderen nominierst kommt man von extern nicht mehr drauf außer man weiß den neuen Port.

Also statt 3389 => rechner:3389 auf zB.: 63389 => rechner:3389 ändern.

Nur so ein Gedanke.

LG mcdy
Bitte warten ..
Mitglied: Lochkartenstanzer
08.11.2013 um 17:20 Uhr
Zitat von 113436:
keine schlechten Ideen, aber wenn er alle verbindungen blockt, kann er nimmer ins internet.(übers netztwerk)

Muß er ins Internet?

Abgesehen davon war ja die Rede vom kontrollierten Zugang ins Internet, wie z.B. Application level Proxy, wünschenswerterweise gelcih mit Authentifikation. Dann fällt halt auf, wenn Software versucht "nach Hause zu telefonieren".

lks
Bitte warten ..
Ähnliche Inhalte
Windows Server
WSUS Clientcomputer können nicht aus der Gruppe "Clientcomputer für Update Service" verschoben werden
Frage von Mario.RWindows Server2 Kommentare

Hallo. Wir haben einen Windows SBS 2011 - Server im Netz. Auf den ist WSUS-Server installiert ist. So weit ...

Windows Server
Benutzer lässt sich nur an einem Clientcomputer anmelden
gelöst Frage von AmmannWindows Server19 Kommentare

Hallo Zusammen, wer kann mir helfen. Ich habe ein Netzwerk mit 10 Clients und SBS 2011 Essential. Alle Clients ...

Windows Server
Öffentlicher Ordner - Wie kann ich den Zugriff sperren?
Frage von NeuerOFRWindows Server9 Kommentare

Hallo, bei uns gibt es Spezialisten die ihre Dateien gerne mal im Öffentlichen Profil (Public-Folder) unter Dokumente / Bilder ...

Linux Netzwerk
OpenVPN, Kein Zugriff ins remote Fritzbox-LAN
gelöst Frage von orcapeLinux Netzwerk2 Kommentare

Hi Kollegen, ich habe auf einer pfSense mehrere OpenVPN-Server am laufen, die, auf der Clientseite unterschiedliche Linksys DD-WRT Router, ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 3 StundenVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 14 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 16 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...