frankw
Goto Top

Datenaustausch zwischen Laptop und Firmennetzwerk erlauben

Hallo Kollegen,

ich habe ein Problem bzgl. den Anforderungen der einzelnen Abteilungen.

Ausgangssituation:
Einige Mitarbeiter besitzen Notebooks, auf denen sie Adminrechte besitzen, die aber nicht ans Firmennetzwerk angeschlossen werden dürfen. Wenn sie Dateien am Wochenende oder auf Dienstreisen bearbeiten möchten, müssen sie zu uns Admins kommen und dann werden die Dateien via USB – Stick auf das Laptop übertragen und umgekehrt.

Es tritt aber sehr häufig die Situation ein, dass abends z. B. um 20:00 Uhr oder am Samstag noch Dateien auf dem Laptop benötigt werden und kein Admin ist verfügbar, um sie einzuspielen. Natürlich macht sich dann Unmut breit.

Momentane Variante:
Notebooks, die sich bei uns ins Firmennetz einwählen dürfen (mit VPN via UMTS oder DSL) besitzen eine andere Konfiguration. Die Partitionen sind komplett mit Safeguard Easy verschlüsselt und alle Komponenten, die eine potentielle Gefahr für das Netzwerk darstellen, sind mit Devicelock gesichert und werden nur für bestimmte Geräte freigegeben. Das Problem von Devicelock ist, dass diese Datenträger ebenfalls verschlüsselt sein müssen (ist so gewollt) und somit ist ein Datenaustausch auf eine unverschlüsselte Partition und umgekehrt nicht möglich. Einzige Variante ist das brennen einer CD, was aber nur der Administrator darf.

Wunsch:
Natürlich wollen die Betroffenen (Laptop mit Adminrechten) auch Dateien auf ihr Laptop laden, wenn keine Admins mehr im Hause sind. Hat jemand für solch eine Problematik eine passable Lösung? Wie habt Ihr das Problem gelöst? Ich habe mir schön öfters mit meinem Kollegen Gedanken darüber gemacht, aber wir haben keine Antwort gefunden, ohne dass wir unsere Sicherheit runterschrauben würden, was aber nicht in Frage kommt.

Danke schon mal für alle Hinweise!

Gruß
Frank

Content-Key: 37243

Url: https://administrator.de/contentid/37243

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: Maggus
Maggus 03.08.2006 um 14:21:42 Uhr
Goto Top
Hi,

nur weil die User lokale Admin-Rechte haben, brauchen sie diese ja nicht auch auf dem jeweiligen Fileserver. Die User müssen sich halt immer mit einem anderen Benutzernamen
am Server anmelden.

Oder handelt es sich um externe Notebooks, die nichts mit der Firma zu tun haben?

MfG
Maggus
Mitglied: frankw
frankw 03.08.2006 um 14:32:53 Uhr
Goto Top
Hallo Maggus,

vielleicht muss ich noch was ergänzen: die Laptops sollen nicht ans Netz, weil wir nicht wissen, was die Mitarbeiter in ihrer Freizeit so alles damit anstellen. Somit werden diese Laptops eben wie externe Geräte behandelt. Manche haben sich ihren privaten Provider eingerichtet und gehen damit auch ins Internet, weitestgehend ungeschützt, nur mit Virenscanner. Sie könnten sich natürlich eine Firewall installieren, die wenigsten machen das aber.

Eigentlich ist der Datenaustausch mit den USB-Sticks schon i.O. (für uns Admins zumindest). Aber wir suchen eine Lösung, bei der eben nach unserem Büroschluss Daten übertragen werden können. Mich würde halt interessieren, ob es noch jemanden gibt, der in einer ähnlichen Situation für sich eine Lösung gefunden hat und ob wir etwas davon anwenden könnten.

Gruß
Frank
Mitglied: Maggus
Maggus 03.08.2006 um 15:15:15 Uhr
Goto Top
Hi,

ich weiss ja nicht um welche Daten es sich handelt die übertragen werden sollen. Aber ist
vielleicht der Einsatz einer DMZ in Verbindung mit einem VLAN möglich? Welche Server setzt ihr ein, Windows oder Linux?

Ihr könntet einen DMZ-Server laufen lassen der über WebDav bestimmte Daten zur Verfügung stellt. Es ist auch möglich das dieser die Daten wiederrum von eurem Hauptserver über WebDav abruft bzw. zur Verfügung gestellt bekommt. Es sollte auf jedenfall auf beiden Servern ein guter Virenscanner und Firewall laufen. Über das VLAN könntet ihr sicherstellen, dass diese Notebooks keinen Zugriff auf das eigentliche Firmennetz erhalten.

Ich hoffe das Dir das weiterhilft. Du weisst ja, 100%ige Sciherheit ist eine Illusion. 99% machbar.

MfG
Maggus
Mitglied: Iwan
Iwan 03.08.2006 um 16:27:55 Uhr
Goto Top
wir hatten mal sowas ähnliches, allerdings nicht mit verschlüsselten Laptop-HDDs und so nem Kram
die Laptops sollten eigentlich auch nie ans Netz, aber ständiger Datenaustausch war einfach unumgänglich
also haben wir uns ein Testlaptop genommen, einen sicheren Client gebastelt und gut wars
Firefox statt IE, Virenscanner, Firewall, diverse Sicherheitseinstellungen und fertig
man kann es mit Sicherheit auch übertreiben...

andere Möglichkeit wäre, einen PC im Netzwerk mit einer 2. Netzwerkkarte auszustatten, an den die Laptops sich dann anstöpseln könnten
nur müsste ihr den PC dann auch irgendwie vor möglichen Gefahren durch die Laptops absichern
hätte aber den Vorteil, das ihr lediglich den PC sicher und sauber halten müsstest
Mitglied: frankw
frankw 04.08.2006 um 08:41:11 Uhr
Goto Top
Hallo Iwan,

die Idee mit dem PC klingt gar nicht mal schlecht. Ich werde mir mal Gedanken darüber machen, da läßt sich sicherlich einiges machen, wenn ich vorher winwenig Gehirnschmalz investiere.

Danke nochmal für Eure Tips!

Gruß
Frank
Mitglied: Rafiki
Rafiki 09.08.2006 um 21:26:49 Uhr
Goto Top
Citrix ist eine Erweiterung von dem Terminal Server. Dabei wird die Anwendung auf dem Citrixserver in der Firma geöffnet und nur der Bildschirminhalt wird übertragen. Du kannst genau festlegen welche Anwender welche Programme und Dateien verwenden dürfen und was damit geschehen darf. z.B. Datei öffnen ja, drucken nein. Die Datei verlässt aber das Firmennetzwerk nicht. Citrix unterstützt diverse Verschlüsselungs- und Authentifizierungsvarianten. So genug der schleich Werbung, mehr Erfährst du von deinem Computerhändler. Der hat auch eine 30 Tage Ausprobierversion für dich.

http://www.citrix.com/English/ps2/demo.asp
Dort Flash Demo: Citrix Presentation Server 4

Gruß Rafiki
Mitglied: frankw
frankw 10.08.2006, aktualisiert am 18.10.2012 um 17:57:06 Uhr
Goto Top
Hallo Rafiki,

Citrix ist mir ein Begriff, habe selbst mal jahrelang ein paar TS verwaltet. Die Sache geht aber an meinem Problem vorbei. Unsere Mitarbeiter mit ihren Notebooks arbeiten oft zu Hause oder im Zug auf dem Weg zu einer Sitzung / Besprechung. Eine Onlineverbindung in einem Intercity kommt nicht gut, erst recht nicht, wenn's durch Tunnels geht (hat mal einer mit UMTS versucht und dann gemeckert, weil die Verbindung dauernd abgebrochen sei - komisch...). Also muss die Datei lokal auf's Notebook. Die Problematik habe ich oben ja beschrieben. Da scheint mir die Idee von einem zentralen PC, wie Iwan vorgeschlagen hat, doch überdenkenswert zu sein.

gruß
Frank
Mitglied: Rafiki
Rafiki 10.08.2006 um 21:17:16 Uhr
Goto Top
Hallo Frank,

ich wollte dir nicht unterstellen dass ein Terminalserver etwas Neues für dich ist. Sorry, wenn das in meinem Kommentar so klingt . Meine Idee war einfach dem Benutzer NICHT die Datei zu geben. Nach meiner Meinung wird es unmöglich sein die Kontrolle über die Datei zu behalten wenn die Datei von einem Benutzer geladen werden darf der lokale Adminrechte hat. Solltest du deine Aufgabenstellung doch noch lösen würde ich gerne davon hören.

Also gut noch ein letzter, sehr schräger, aber auch kreativer Versuch deine Hochsicherheitswelt zu retten. Ich gehe natürlich auch davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. In der VM hat Windows einen VPN Client und der Benutzer arbeitet ohne Adminrechte. In dieser virtual machine darf der Benztzer die nötigen Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich)
Vorraussetzung ist natürlich ein Laptop mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Laptop. Die VM entspricht eurem geschütztem Laptop Modell während der echte Laptop mit Adminrechten dem Benutzer auch weiterhin zur Verfügung steht.
Kann dich dieser Vorschlag überzeugen?


Gruß Rafiki
Mitglied: frankw
frankw 11.08.2006 um 08:20:13 Uhr
Goto Top
Moin Rafiki,

ich entschuldige mich auch, falls es für Dich so geklungen hat, als wollte ich Dich mit meiner Ausführung zurechtweisen, das war so nicht gemeint.
Deine "etwas schräger" Hinweis auf Vmware ACE ist echt gut, danke! Ich kenne Vmware, hab hier ein paar Rechner damit laufen (SUS-Server, Testrechner, usw.). Muss gestehen, dass ich zwar schon öfter das Produkt auf der Webseite gesehen, aber nie näheres nachgelesen habe. Vmware ACE ist in gewissen Bereichen bei uns mit Sicherheit einsetzbar, das werde ich auf jedenfall im Auge behalten. Und da wäre es auch möglich, diese Datenkopiererei von unseren Mitarbeitern zu regeln.
Zusätzlich möchte ich bei uns in der EDV einen PC (Vorschlag von Datenaustausch zwischen Laptop und Firmennetzwerk erlauben. Für Alle, die Bedenken zu so einem Tool haben: Wenn Benutzer und Betriebsrat darüber informiert sind und zusätzlich ein Infofenster nach der Anmeldung erscheint, dass dieser PC überwacht wird, dann stellt es kein Problem dar. Es darf nur nicht dazu verwendet werden (wie es auf der Webseite beschrieben wird), einen Benutzer unbemerkt auszuspionieren (z. B. um Passwörter zu bekommen, oder zu sehen, was einer so alles schreibt...), auch nicht im privaten Bereich!
Von beiden Varianten werde ich dann die Bessere umsetzen, damit das gemecker endlich aufhört (muss mir das schon seit 2 Jahren anhören)
Ich werde Deinen Vorschlag mit Vmware ACE auf jedenfall mal an einer Testgurke ausprobieren und wenn ich es bis dahin durch meine Alzheimer nicht vergessen habe, poste ich das Ergebnis dann hier.

Also, vielen Dank nochmal an Alle mit Ihren kreativen Vorschlägen (es darf aber weiter gepostet werden!)!

Gruß Frank