Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Softwareverteilung im Netzwerk - Wir möchten die Sicherheit erhöhen

Frage Microsoft Windows Userverwaltung

Mitglied: Diddi-tb

Diddi-tb (Level 1) - Jetzt verbinden

26.05.2014 um 14:28 Uhr, 2501 Aufrufe, 15 Kommentare

Hallo zusammen,

ich mache mir seit einigen Wochen Gedanken darüber wie wir unser Netzwerk sicherer machen können. In letzer Zeit kommt immer öfter mal eine Meldung von der Security Software weil ein User auf eine gefälschte Mail clickt.

Vorab möchte ich kurz die Situation bei uns schildern. Wir haben einen Server mit Windows 2008 Server (läuft hauptsächlich als Fileserver und synchronisiert Daten zwischen uns und der Online Warenwirtschaft, zusätzlich läuft noch eine SQL Datenbank von DHL). Weiterhin haben wir 15 PC's (hauptsächlich Win7, einer Vista Home und zwei Win8 Pro) in Betrieb. Diese PC's verfügen im Moment über ein Passwortgeschütztes Administrator Konto und ein Benutzerkonto mit Admin Rechten ohne Passwort.

Nun möchte ich gerne Schritt für Schritt das Ganze etwas besser absichern. Als erstes würde ich alle Benutzerkonten mit Adminrechten auf ein Konto mit Standardrechten umstellen. Hier tauchen dann schon die ersten Fragen auf:

- Sollten diese Benutzerkonten dann auch mit Passwörtern versehen werden? Wir haben keinerlei Publikumsverkehr, die PC's werden nur von Mitarbeitern benutzt

- Wenn ich die Benutzerkonten umstelle, ist kein Mitarbeiter mehr in der Lage alle Programme über die Updates aktuell zu halten. Soweit ich mich informiert habe werden nur die Betriebssystem updates installiert. Für alle anderen Updates/Installationen bräuchten die User ja dann das Adminpasswort. Jetzt habe ich aber keine Lust/Zeit an allen 15 Rechnern ständig updates zu installieren. Wie kann ich am einfachsten die Software verteilen? Um es über den Server mit den Gruppenrichtlinien zu machen müsste ich wohl einen Domänencontroller einrichten. Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?

- Da wir auf unserem Server auch Kundendaten haben, wäre es ja dann auch Sinnvoll diese zu verschlüsseln. Würdet ihr dann nur die einzelnen Ordner bzw. Datenbanken verschlüsseln oder die Partitionen oder den kompletten Server inkl. Betriebssystem?

Ich habe noch viele weiter Fragen, aber hier höre ich einfach mal auf und hoffe auf eure Hilfe!

Vielen Dank schomal!
Mitglied: sk-it83
26.05.2014, aktualisiert um 14:38 Uhr
Hi nicht-fachkraft,

findest du nicht das du diese ganzen Anforderungen von einem Systemhaus lassen machen solltest?

Würde ich an deiner Stelle mal drüber nachdenken ;)

Weitere Kommentare, vor allem zu dem NICHT vorhandenen Passwortschutz spare ich mir mal.

VG
Bitte warten ..
Mitglied: Diddi-tb
26.05.2014 um 16:19 Uhr
Hallo licorit,

habe natürlich mit Kommentaren dieser Art gerechnet. Prinzipiell gebe ich Dir da auch zum Teil auch recht. Allerdings entwickelt sich eine Firma manchmal anders als man denkt. Wir haben damals mit drei Leuten und ohne Server angefangen, inzwischen sind wir 10 Mitarbeiter. Der Betrieb ist seit 2009 so schnell gewachsen das wir da andere Dinge zu tun hatten.

Das Systemhaus von dem wir den Server haben hat uns diesbezüglich allerdings auch nicht aufgeklärt...

Da wir uns weiterentwickelt haben, sind wir jetzt eben an dem Punkt wo wir an der EDV weiter optimieren müssen. Wenn es nicht anders geht, sind wir natürlich bereit auch für externe Dienstleistungen Geld auszugeben.

Ich hatte eben die Hoffnung hier ein paar Tips zu bekommen, dann könnte ich mir das alles in Ruhe durchdenken und die Lösung die für uns am besten passt umsetzen. Was anderes würde ein Systemhaus auch nicht machen oder?
Bitte warten ..
Mitglied: keine-ahnung
26.05.2014 um 18:08 Uhr
Moin,
Was anderes würde ein Systemhaus auch nicht machen oder?
vermutlich nicht, bei denen sollte man aber zumindest postulieren, dass sie wissen, was sie tun !
Das Gerassel würde zumindest ich nicht ohne AD verwalten wollen ...
Gibt es denn Lösungen die auch von nicht Fachkräften wie mir verwaltet werden können?
Unbedingt: SBS2011, W2012R2 essental oder standard oder foundation ... je nach gusto. Oder Du ziehst auf den 2008'er die AD-Rolle hoch, nutzt zunächst den WSUS für die MS-update-Verteilung und DFS für die Berechtigungen und Freigaben. Dazu eine vernünftige firewall, eine möglichst zentral zu administrierende Antimalwarelösung und was schickes zum Sichern und ausser Haus bringen. Ist eigentlich ganz easy, ich mach es ja als Nichtfachkraft auch ... aber nur mit Fragen in Foren klappt das vermutlich nicht. Ein wenig Einlesen und -arbeiten braucht's schon erstmal.

LG, Thomas
Bitte warten ..
Mitglied: DerWoWusste
26.05.2014, aktualisiert um 23:17 Uhr
Hi.

Du zeigst durch Deine Fragen, dass Du im Bereich IT-Sicherheit interessierter Laie bist. Ein Forum kann zwar gute Tipps geben und auch hier und da zum Nachdenken anregen, aber wird aus einem Laien niemanden formen können, der eine geschäftlich IT betreuen kann - auch nicht, wenn es hierbei nur um wenige PCs geht.

Du solltest Dich extern beraten lassen, der Weg ist zu weit. Wenn Du schon jemanden im Haus hättest, der Ahnung hat, könnte man darüber reden, Dich anzulernen, aber ohne rate ich davon ab.

In Kürze zu Deinen Themen:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine Adminrechte.
-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend. WSUS geht auch ohne Domäne, mit Erweiterungen wie https://wsuspackagepublisher.codeplex.com/ kann man damit eine sehr nette Softwareverteilung einrichten, die über Windowsupdates weit hinausgeht
-Verschlüsselung: Dir ist wahrscheinlich bewusst, dass diese nur gegen Diebstahl des Servers schützen kann und sonst nichts? Klar, wenn der Server nicht gut verschlossen steht, sollte man das machen. Dabei ist eine Vollverschlüsselung oft am einfachsten. Jedoch kommen damit technische Herausforderungen bei der Schlüsselübergabe, die man erstmal durchdenken muss, hinzu.
Bitte warten ..
Mitglied: Diddi-tb
04.06.2014 um 12:43 Uhr
Zitat von DerWoWusste:
-Benutzerkonten: Im Interesse von Privatssphäre/Datenschutz und Sicherheit der Kundendaten: jedem ein eigenes Konto und keine
Adminrechte.

OK - das ist soweit klar. Allerdings ist es bei uns oft der Fall das Abteilungsübergreifend gearbeitet wird. Gerade bei Urlaubsvertretungen wechseln die Mitarbeiter dann den Arbeitsplatz. Im Moment habe ich auf jedem Rechner das gleiche Benutzerkonto (also den gleichen Namen) eingerichtet. Wie wäre hier der Praxistipp. Diesen einen Benutzer auf jedem Rechner beibehalten und die Rechte runterstufen oder muss ich wirklich für jeden Mitarbeiter an jedem PC sein Benutzerkonto einrichten? Das wäre ja extrem umständlich.

-Softwareverteilung: kannst Du über Skripte lösen, nicht zwingend eine Domäne erforderlich, aber schnell lohnend.
Wie schon erwähnt haben wir 15 Rechner. WSUS habe ich auf dem Server installiert und eingerichtet. Allerdings stellt sich mir nun die Frage ob ich eine Domäne einrichten soll. Dazu müsste der Domänencontroller nachinstalliert werden. Würdest Du es in unserem Fall über die Domäne machen?

Vielen Dank schon mal!!!!

Weiter Tips von anderen Usern sind natürlich auch sehr willkommen.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2014 um 13:11 Uhr
muss ich wirklich für jeden Mitarbeiter an jedem PC sein Benutzerkonto einrichten?
Domäne wäre besser, dann hast Du diesen Stress nicht. Wegen WSUS bräuchtest Du keine, die WSUS-Konfig kann man auch über die Registry vornehmen.
Bitte warten ..
Mitglied: Diddi-tb
16.06.2014 um 07:20 Uhr
Hallo nochmal,

habe jetzt alles am laufen. AD und WSUS funktionieren. Ich habe nun für jeden Benutzer ein Profil angelegt. Allerdings habe ich noch ein Problem, im Moment arbeite ich am Server noch mit dem Administratorkonto. In der AD habe ich jetzt ein Standardbenutzerkonto angelegt mit dem ich mich auf dem Server anmelden will. Wenn ich jetzt versuche mich mit diesem Konto am Server an der Domäne anzumelden erhalten ich folgende Fehlermeldung:

"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist."

Könnt ihr mir einen Tip geben woran das liegt?

Vielen DANK!
Bitte warten ..
Mitglied: DerWoWusste
16.06.2014 um 07:42 Uhr
An Servern dürfen sich mit Standardeinstellungen nur Admins anmelden. Warum soll sich der Benutzer direct am Server anmelden?
Oder ist der als Terminalserver gedacht?

Konkret: es fehlen die Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben"
Bitte warten ..
Mitglied: Diddi-tb
16.06.2014 um 09:51 Uhr
Naja, ich dachte aus Sicherheitsgründen wäre das Sinnvoll wenn ich am Server mal arbeite und mich dann mit einem Standardbenutzer anmelde. Meldest Du Dich immer als Admin am Server an?
Bitte warten ..
Mitglied: DevTig
16.06.2014 um 11:47 Uhr
Hi,
da die Firma noch "relativ" Überschaubar ist. Solltet Ihr so früh wie möglich anfangen eine klare Server / Client Struktur aufzubauen.
Wenn ihr ein Systemhaus an der Hand habt, wendet Euch an dieses und besprecht mit diesem was ihr Euch vorstellt, bzw, haben möchtet.

Ansonsten solltet ihr/Du mal den Ist-Zustand dokumentieren. Danach ist es Sinnvoll einen Soll-Zustand zu definieren und einen Fragen-Katalog zu erstellen.

Der Ist Zustand beschreibt welche Server- / Client-Hardware ihr habt, welche Betriebssysteme im Einsatz sind, wie sich User an den Rechnern anmelden müssen, welche Software (Office, Virenscanner,...) genutzt wird, usw.
Oder Vereinfacht ausgedrückt, Eure komplette Infrastruktur ( Hardware, Software und Netzwerk )

In dem Soll-Zustand würde ich auf jeden Fall die folgenden Dinge mit aufnehmen:
Domain-Controller, Active Directory, WSUS, Virenscanner, Backup, Firewall, Software-Verteilung

Der Fragen Katalog sollte alle Fragen enthalten die Euch zu diesem Thema einfallen. Dazu gehören auch Fragen zu den Kosten bei Anschaffung, Wartung und eventueller Pflege durch externe Dienstleister.

Wenn man dann diese drei Dinge hat, wendet man sich an mehrere Systemhäuser und läßt diese das ganze sichten und den Fragen-Katalog beantworten und eventuell sogar noch ein Angebot erstellen. Alles weitere ist liegt dann an Euch und dem von Euch bevorzugtem Systemhaus.

Und zu guter Letzt, das wichtigste, bezieht von Anfang an die Leute mit ein, welche zum Schluß entscheiden, ob das ganze umgesetzt wird oder nicht.

Grüße
DevTig
Bitte warten ..
Mitglied: DerWoWusste
17.06.2014 um 02:27 Uhr
Meldest Du Dich immer als Admin am Server an?
Zum Administrieren selbstverständlich, geht nicht ohne. Ich mache natürlich keine unnötigen oder potentiell gefährlichen Dinge als Admin.
Bitte warten ..
Mitglied: Diddi-tb
17.06.2014 um 08:31 Uhr
Bevor wir umgestellt haben, hatte ich einen lokalen Standardbenutzer (Passwortgeschützt) der automatisch bei hochfahren angemeldet wurde. Der Hintergrund ist folgender: wir haben einige Programme von unserer Wawi zum Abgleich der Daten mit Onlineplattformen die nicht automatisch als Dienst starten. Somit musste ich Sicherstellen, das nach einem Serverneustart diese Programme auch laufen. Weiterhin lädt dann auch eine Steuerung für die Lüftung und die Klima.

Ich möchte aber kein Adminkonto automatisch anmelden. Deshalb möchte ich mich auch auf dem Server mit einem Standardkonto anmelden können. Muss ich da eine Gruppenrichtlinie anpassen?

Nochmals vielen Dank!!!
Bitte warten ..
Mitglied: DerWoWusste
17.06.2014, aktualisiert um 12:42 Uhr
Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man ohne Autologoin auskommt, alles andere ist Murks.
GPO: siehe oben: Zuweisungen der Benutzerrechte "Lokale Anmeldung erlauben" und "Anmeldung über remote desktop erlauben" innerhalb der Computerkonfig - Sicherheitseinstellungen
Bitte warten ..
Mitglied: Diddi-tb
20.06.2014 um 15:01 Uhr
Zitat von DerWoWusste:

Dieser Workaround (wenn auch weitverbreitet) sollte auf keinen Fall genutzt werden. Frag den Hersteller, was zu tun ist, damit man
ohne Autologoin auskommt, alles andere ist Murks.
Habe jetzt mit dem Hersteller gesprochen, es ist nicht vorgesehen das Programm als Dienst laufen zu lassen. Ich habe auch einige Versuche mit Srvany und runassvc gemacht. Aber ich kriege es nicht hin das Programm damit als Dienst laufen zu lassen. Bzw. der Dienst läuft aber das Programm greift nicht die Datei auf dem Laufwerk ab um diese in die wawi einzuspielen.

Im Moment sehe ich nur die Möglichkeit mit dem Autologin und die Programme dann im Autostart einzutragen. Gibt es evtl. noch andere Möglichkeiten?

Danke und Gruß
Bitte warten ..
Mitglied: DerWoWusste
20.06.2014 um 15:06 Uhr
Du musst zunächst analysieren, was im funktionierenden Fall abläuft. Worauf muss der Dienst also Zugriff haben und hat er das derzeit? Der Dienst hat jaschließlich auch ein Benutzerkonto, dass man berechtigen kann, um Zugriffe zu ermöglichen.
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Erkennung und -Abwehr
Proxy um Anti Virus Sicherheit zu erhöhen ? (6)

Frage von agnostiker zum Thema Erkennung und -Abwehr ...

Erkennung und -Abwehr
gelöst IT-Sicherheit für eigenen Raspberry Pi Webserver im Heimnetzwerk erhöhen (19)

Frage von mastermaiksen zum Thema Erkennung und -Abwehr ...

Netzwerkmanagement
WDMYCLOUD nicht im Netzwerk sichtbar (4)

Frage von Ully45 zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...