5
VPN-Zugriff aufs Firmennetz
Hallo zusammen,
habe folgendes Problem.
Ich habe bei uns in der Firma für unseren Chef einen VPN-Zugang eingerichtet. Er kann dann per Wake-On-Lan seinen Rechner starten und sich auf diesen verbinden und abreiten. Hat also normale Rechte wie sonst auch.
Nun möchte er, das ich dies für andere User auch mache. Er gibt mir vor, für wen dies erstellt werden soll.
Nun liegt mein Problem in folgendem:
Ich habe ein sehr ungutes Gefühl wenn so viele Mitarbeiter (12) Zugriff auf unser Netz haben. Vor allem auf das ERP-System, weil die Rechte haben alle User in der Firma, darauf zuzugreifen. Nur weiß man ja nicht, was von zu Hause alles für Schund getrieben wird.
Nun habe ich mir überlegt einen Terminalserver aufzusetzen, allen "VPN-Benutzer" anzulegen, dieser User hat dann komplett eingeschränkte Rechte auf unser ERP-System und nur Lese-Berechtigung auf unsere Daten, die am Fileserver liegen.
Was meint ihr? Wie habt ihr das bei euch in den Betrieben geregelt?
habe folgendes Problem.
Ich habe bei uns in der Firma für unseren Chef einen VPN-Zugang eingerichtet. Er kann dann per Wake-On-Lan seinen Rechner starten und sich auf diesen verbinden und abreiten. Hat also normale Rechte wie sonst auch.
Nun möchte er, das ich dies für andere User auch mache. Er gibt mir vor, für wen dies erstellt werden soll.
Nun liegt mein Problem in folgendem:
Ich habe ein sehr ungutes Gefühl wenn so viele Mitarbeiter (12) Zugriff auf unser Netz haben. Vor allem auf das ERP-System, weil die Rechte haben alle User in der Firma, darauf zuzugreifen. Nur weiß man ja nicht, was von zu Hause alles für Schund getrieben wird.
Nun habe ich mir überlegt einen Terminalserver aufzusetzen, allen "VPN-Benutzer" anzulegen, dieser User hat dann komplett eingeschränkte Rechte auf unser ERP-System und nur Lese-Berechtigung auf unsere Daten, die am Fileserver liegen.
Was meint ihr? Wie habt ihr das bei euch in den Betrieben geregelt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 100696
Url: https://administrator.de/contentid/100696
Printed on: April 20, 2024 at 03:04 o'clock
5 Comments
Latest comment
Terminalserver ist ja schon mal eine gute Entscheidung. Aber warum möchtest Du entscheiden, ob der User welchen Zugriff der User auf das Softwaresystem hat? Wenn der Chef es will, solltest Du es vielleicht befolgen. Sinnvoll wäre auch die Protokolle des Terminalservers ab und zu zu sichern, so hast Du einen Nachweis, wann sich der einzelne User eingeloggt hat (gilt auch für den VPN-Server).
Ich hoffe, Ihr habt ein vernünftiges Hardware- VPN-Gateway.
Gruß, Arch Stanton
Ich hoffe, Ihr habt ein vernünftiges Hardware- VPN-Gateway.
Gruß, Arch Stanton
Hallo Flo,
ich rate Dir ebenfalls zu einem Terminalserver und einem VPN-Router (Ich benutze Draytek). Somit kannst Du einigermassen sicher sein, dass Eure Mitarbeiter nicht all zu groben Unfug treiben können und der Terminalserver nicht durch die M$-VPN-Dienste ausgebremst wird. Der ganze Spass wird aber recht teuer, da Du extra TS-Cal's benötigst. Soll der Terminalserver dann auch sonst noch im Netz als Fileserver etc stehen benötigst Du weiter User bzw. Device-Cals.
Mit solch einer Lösung bist Du aber auf jedenfall auf der sicheren Seite. Rumbasteln wird nämlich sehr schnell bestraft ;)
Gruss Matze
ich rate Dir ebenfalls zu einem Terminalserver und einem VPN-Router (Ich benutze Draytek). Somit kannst Du einigermassen sicher sein, dass Eure Mitarbeiter nicht all zu groben Unfug treiben können und der Terminalserver nicht durch die M$-VPN-Dienste ausgebremst wird. Der ganze Spass wird aber recht teuer, da Du extra TS-Cal's benötigst. Soll der Terminalserver dann auch sonst noch im Netz als Fileserver etc stehen benötigst Du weiter User bzw. Device-Cals.
Mit solch einer Lösung bist Du aber auf jedenfall auf der sicheren Seite. Rumbasteln wird nämlich sehr schnell bestraft ;)
Gruss Matze
Zitat von @Arch-Stanton:
Wenn der Chef es will, solltest Du es
vielleicht befolgen. Sinnvoll wäre auch die Protokolle des
Terminalservers ab und zu zu sichern, so hast Du einen Nachweis, wann
sich der einzelne User eingeloggt hat (gilt auch für den
VPN-Server).
Wenn der Chef es will, solltest Du es
vielleicht befolgen. Sinnvoll wäre auch die Protokolle des
Terminalservers ab und zu zu sichern, so hast Du einen Nachweis, wann
sich der einzelne User eingeloggt hat (gilt auch für den
VPN-Server).
Sehe ich auch so. Wenn ich was machen MUSS, was bei mir Sicherheitsbedenken auslöst, formuliere ich das schriftlich an den Chef, dann bin ich so schonmal auf der sicheren Seite, wenn dann doch was ist ("Ja warum haben sie denn nicht deutlich gesagt, was da passieren kann...."
Rechte einschränken ist natürlich eine schönere Lösung, keine Frage - aber wenn sie die Rechte ja vielleicht brauchen um arbeiten zu können?
Zusätzlich würde ich noch Sicherheitsrichtlinien ausarbeiten und von den VPN-Teilnehmern unterschreiben lassen, damit auch die dann nciht sagen können "aber das hat uns ja keiner gesagt..."
Wir kennen doch unsere Spezial-User
Gruß
Jürgen
Hallo Flo,
ich würde zunächst einmal mit Deinem Chef sprechen, denn was er praktisch findet, muß ja nicht zwangsweise praktisch für die anderen Mitarbeiter sein.
Es gilt zunächst die Frage zu klären, wird überhaupt von den 12 Mitarbeiter von zu Hause aus gearbeitet, so dass sie den Zugriff auf das Firmennetz benötigen.
Ich würde auch ganz klar die Sicherheitbedenken äußern, auch mit nur Leseberechtigung kann man Daten entwenden. Danach ist die bereits erwähnte Kostenfrage für Terminalserverlizenzen, ein eventuell anzuschaffendes VPN Gateway zu klären und eventuell noch einen 2. Server für die Terminaldienste. Des weiteren wäre noch zu klären, ob die auf dem Terminalserver zugängliche Software terminalserverfähig ist und ob dies nicht noch weitere Lizenzkosten aufwirft.
Gruß
cykes
ich würde zunächst einmal mit Deinem Chef sprechen, denn was er praktisch findet, muß ja nicht zwangsweise praktisch für die anderen Mitarbeiter sein.
Es gilt zunächst die Frage zu klären, wird überhaupt von den 12 Mitarbeiter von zu Hause aus gearbeitet, so dass sie den Zugriff auf das Firmennetz benötigen.
Ich würde auch ganz klar die Sicherheitbedenken äußern, auch mit nur Leseberechtigung kann man Daten entwenden. Danach ist die bereits erwähnte Kostenfrage für Terminalserverlizenzen, ein eventuell anzuschaffendes VPN Gateway zu klären und eventuell noch einen 2. Server für die Terminaldienste. Des weiteren wäre noch zu klären, ob die auf dem Terminalserver zugängliche Software terminalserverfähig ist und ob dies nicht noch weitere Lizenzkosten aufwirft.
Gruß
cykes
Hi, erstmal vielen Dank für eure antworten.
Ja, gescheite Hardware habe ich da...
Werde mich mal dran setzen, was ausarbeiten und es dann dem chef geben, mal sehen wohin das führt...
Ja, gescheite Hardware habe ich da...
Werde mich mal dran setzen, was ausarbeiten und es dann dem chef geben, mal sehen wohin das führt...
