2
Wie sichere ich den PC und das Netzwerk für Home Office richtig?
Hallo,
ich will einem Mitarbeiter (MA) ein Notebook von der Arbeit mit nach Hause geben, so dass der Mitarbeiter NUR auf unser Client-Server Back-Office Programm zugreifen kann und dort die E-Mails beantworten kann.
Er soll keinen Zugriff auf das ganze Netzwerk bekommen.
Was ich bis jetzt gemacht habe:
Ich habe über unseren Router eine VPN Verbindung über SSL zugelassen.
Auf dem Notebook habe ich den passenden VPN Client des Routers installiert.
Der Mitarbeiter könnte sich nun über Windows Remote Desktop (RDP) mit der passenden IP-Adresse auf einen speziellen Client-PC in der Arbeit einloggen und dort die WinForm-Anwendung aufrufen.
Mein Problem:
Wenn der MA sich über RDP auf dem PC einloggt, dann hat er aktuell noch mehr Rechte, die er von außen nicht haben soll, z.B.:
- Zugriff auf die lokalen Laufwerke
- Zugriff auf die gemappten Netzwerklaufwerke
- Möglichkeit den PC herunterzufahren (wenn er das aus versehen macht, kann er den PC ja nicht mehr hochfahren und weiterarbeiten)
- Zugriff auf andere lokal installierte Programme
- Zugriff auf andere Netzwerk-Programme
- ggf. Zugriff auf das Internet über den Client-PC in der Arbeit (weiß noch nicht ob das gerade schlimm ist)
- ...
So jetzt die Frage:
Wie kann ich den Zugriff auf nur dieses eine Programm einschränken?
Wie sichert man das richtig ab?
- Soll ich einen eigenen Remote-User anlegen der nur beschränke Rechte hat?
Das wäre eigentlich kein Problem, da das Programm eine eigene Benutzerverwaltung hat die nichts mit dem Windows User zu tun hat.
- Sollte der neue Remote-User ggf. von Typ GAST sein?
- Wie kann ich einstellen, dass der MA nur mit diesem Remote-User sich auf dem PC einloggt und nicht wie gewohnt mit seinem normalen Arbeits-User-Account der mehr Rechte hat?
- Kann ich irgendwie einschränken, dass nur bestimmte User sich über RDP mit dem Netzwerk verbinden können und die anderen von Login über RDP abgelehnt werden?
- Kann ich das über Gruppenrichtlinien lösen, und wenn ja welche bräuchte ich?
- Könnte man die Gruppen von Gruppenrichtlinien nur diesem einen PC mit dem Hostnamen XY zuordnen?
- Kann ich pr GPO auch die anderen lokal installierten Programme der dem Remote-User sperren?
- Ist dadurch die Sicherheit gewährleistet, das sich keiner von außen in das Netzwerk hackt, oder ggf. falls das Notebook verloren geht oder gestohlen wird, reinkommt?
Ich habe auch mal was von VLAN gehört, habe VLAN bis jetzt aber nicht gebraucht und kenne mich damit auch noch nicht aus.
Unser Router und die Switches können auf alle Fälle VLan.
Da gibt es auch unterschiedliche Standards.
- Welche VLAN-Typ sollte man dann nehmen?
- Baue ich dann zwischen dem DB-Server und dem speziellen Client-PC ein eigenes VLAN auf?
- Dann brauch ich dafür sowohl beim Server als auch beim Client eine extra Netzwerkkarte, oder?
- Wenn der Client-PC in der Arbeit aber sonst auch im normalen Netzwerk mitbenutzt werden soll, wie kann ich dann verhindern das der RDP-User durch die "normale" Netzwerkkarte ins Netz kommt und nicht das zweite VLAN nutzt.
Hab ich noch irgendwas Wichtiges vergessen?
Hat jemand eine Tipp wie man das anpackt oder ggf. hat jemand eine Anleitung, Tutorial oder Link zu dem Thema?
Besten Dank.
Rene
ich will einem Mitarbeiter (MA) ein Notebook von der Arbeit mit nach Hause geben, so dass der Mitarbeiter NUR auf unser Client-Server Back-Office Programm zugreifen kann und dort die E-Mails beantworten kann.
Er soll keinen Zugriff auf das ganze Netzwerk bekommen.
Was ich bis jetzt gemacht habe:
Ich habe über unseren Router eine VPN Verbindung über SSL zugelassen.
Auf dem Notebook habe ich den passenden VPN Client des Routers installiert.
Der Mitarbeiter könnte sich nun über Windows Remote Desktop (RDP) mit der passenden IP-Adresse auf einen speziellen Client-PC in der Arbeit einloggen und dort die WinForm-Anwendung aufrufen.
Mein Problem:
Wenn der MA sich über RDP auf dem PC einloggt, dann hat er aktuell noch mehr Rechte, die er von außen nicht haben soll, z.B.:
- Zugriff auf die lokalen Laufwerke
- Zugriff auf die gemappten Netzwerklaufwerke
- Möglichkeit den PC herunterzufahren (wenn er das aus versehen macht, kann er den PC ja nicht mehr hochfahren und weiterarbeiten)
- Zugriff auf andere lokal installierte Programme
- Zugriff auf andere Netzwerk-Programme
- ggf. Zugriff auf das Internet über den Client-PC in der Arbeit (weiß noch nicht ob das gerade schlimm ist)
- ...
So jetzt die Frage:
Wie kann ich den Zugriff auf nur dieses eine Programm einschränken?
Wie sichert man das richtig ab?
- Soll ich einen eigenen Remote-User anlegen der nur beschränke Rechte hat?
Das wäre eigentlich kein Problem, da das Programm eine eigene Benutzerverwaltung hat die nichts mit dem Windows User zu tun hat.
- Sollte der neue Remote-User ggf. von Typ GAST sein?
- Wie kann ich einstellen, dass der MA nur mit diesem Remote-User sich auf dem PC einloggt und nicht wie gewohnt mit seinem normalen Arbeits-User-Account der mehr Rechte hat?
- Kann ich irgendwie einschränken, dass nur bestimmte User sich über RDP mit dem Netzwerk verbinden können und die anderen von Login über RDP abgelehnt werden?
- Kann ich das über Gruppenrichtlinien lösen, und wenn ja welche bräuchte ich?
- Könnte man die Gruppen von Gruppenrichtlinien nur diesem einen PC mit dem Hostnamen XY zuordnen?
- Kann ich pr GPO auch die anderen lokal installierten Programme der dem Remote-User sperren?
- Ist dadurch die Sicherheit gewährleistet, das sich keiner von außen in das Netzwerk hackt, oder ggf. falls das Notebook verloren geht oder gestohlen wird, reinkommt?
Ich habe auch mal was von VLAN gehört, habe VLAN bis jetzt aber nicht gebraucht und kenne mich damit auch noch nicht aus.
Unser Router und die Switches können auf alle Fälle VLan.
Da gibt es auch unterschiedliche Standards.
- Welche VLAN-Typ sollte man dann nehmen?
- Baue ich dann zwischen dem DB-Server und dem speziellen Client-PC ein eigenes VLAN auf?
- Dann brauch ich dafür sowohl beim Server als auch beim Client eine extra Netzwerkkarte, oder?
- Wenn der Client-PC in der Arbeit aber sonst auch im normalen Netzwerk mitbenutzt werden soll, wie kann ich dann verhindern das der RDP-User durch die "normale" Netzwerkkarte ins Netz kommt und nicht das zweite VLAN nutzt.
Hab ich noch irgendwas Wichtiges vergessen?
Hat jemand eine Tipp wie man das anpackt oder ggf. hat jemand eine Anleitung, Tutorial oder Link zu dem Thema?
Besten Dank.
Rene
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294697
Url: https://administrator.de/contentid/294697
Printed on: April 24, 2024 at 08:04 o'clock
2 Comments
Latest comment
Servus,
Ich hab das bei uns so gelöst:
Das Notebook hat ein "frisches" Windows drauf, lediglich Sicherheitssoftware, VPN Client und mstsc.exe (also rdp) sind erlaubt. Von dort verbindet sich der User auf den Terminalserver. Per Gruppenzuteilung im AD und einem netlogon Script werden erlaubte Programme, Zugriffe, etc gemanaged.
Das ist mal das "Grundprinzip", wenn mans so nennen kann.
Was diese "Hacker" betrifft (also Leute in dunklen Räumen mit Skimasken und MacBooks ;) ) hängt das von deiner Infrastruktur und deren Aufbau ab: was hängt in der DMZ, wie ist die Firewall konfiguriert, welche Ports sind am Router offen, welche Programme müssen wie nach außen, etc...
Ich hab das bei uns so gelöst:
Das Notebook hat ein "frisches" Windows drauf, lediglich Sicherheitssoftware, VPN Client und mstsc.exe (also rdp) sind erlaubt. Von dort verbindet sich der User auf den Terminalserver. Per Gruppenzuteilung im AD und einem netlogon Script werden erlaubte Programme, Zugriffe, etc gemanaged.
Das ist mal das "Grundprinzip", wenn mans so nennen kann.
Was diese "Hacker" betrifft (also Leute in dunklen Räumen mit Skimasken und MacBooks ;) ) hängt das von deiner Infrastruktur und deren Aufbau ab: was hängt in der DMZ, wie ist die Firewall konfiguriert, welche Ports sind am Router offen, welche Programme müssen wie nach außen, etc...
Mit einer gescheiten Firewall und VLANs packt man das z.B. an:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder einem gescheiten Router der alles in einem verbindet:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Damit ist das dann ein Kinderspiel...
@121016
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder einem gescheiten Router der alles in einem verbindet:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Damit ist das dann ein Kinderspiel...
@121016
Was diese "Hacker" betrifft (also Leute in dunklen Räumen mit Skimasken und MacBooks)
Das gibt aber den ersten Ordnungsruf hier im Forum und eine Degradierung im Level auf KlickiBunti MS User ! 
