Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win AD - ist die Liste der Rechner, die sich anmelden dürfen, beschränkbar ?

Frage Microsoft Windows Netzwerk

Mitglied: frankball

frankball (Level 1) - Jetzt verbinden

31.08.2011 um 15:16 Uhr, 2451 Aufrufe, 7 Kommentare

Hallo an alle

Folgendes Szenario :

Wir haben eine funktionierendes Netzwerk, alles unter Windows. Aber : Was ist, wenn jemand in unserem Gebäude sein eigenes Notebook an eine freie Dose ankabelt.
Wie kann ich verhindern, dass sich überhaupt irgendeine Form der Anmeldung durch dieses (unbekannte) Gerät machen lässt ? Also weder Browsen nach Shares, Durchsuchen des AD, geschweige denn Anmeldung irgendeines Users (auch nicht eines im AD bekannten Users?

Wir verwenden DHCP
Der AD - Server ist Win2K

Hat jemand so was schon mal umgesetzt ? Vielleicht sogar mit Bordmitteln ?
Mitglied: SlainteMhath
31.08.2011 um 15:21 Uhr
Moin,

dsa bekommst du nur mit dem Standard 802.1x (siehe http://de.wikipedia.org/wiki/IEEE_802.1X ) hin. D.h. der Client authentifiziert sich am Switch, erst wenn er erfolgreich authentifiziert ist bekommt er Zugang zum Netz - das muss natuerlich der Switch und der Client unterstützen.

lg,
Slainte
Bitte warten ..
Mitglied: unzhurst
31.08.2011 um 15:26 Uhr
Hallo,

ein paar erste Schritte könnten sein:
- Reservierungen im DHCP verwenden und nur an Reservierungen IP-Adressen vergeben (so behalte ich die Vorteile von DHCP, Vergabe ist aber eingeschränkt)
- in den Eigenschaften der Benutzerkonten im AD das Feld "Anmelden an" nutzen und Benutzern nur die Anmeldung an ihren eigenen PCs bzw. ggf. Terminalserver oder ähnlichem ermöglichen
- alle Freigaben im Netz bzgl. Berechtigungen prüfen / keine Freigaben mit Freigabe- oder NTFS-Rechten für Jeder usw.
- erste einfacher Schritt um physikalische Sicherheit zu erhöhen wäre z.B. dass nur tatsächlich benutzte Dosen gepatcht sind
- mit Windows 2008 kommt NAP die z.B. ermöglicht dass nur Clients mit Virenscanner xyz oder Registrykey xyz sich am Netzwerk anmelden dürfen / oder es lassen sich MAC-Adressen freischalten usw. usw..
Das sind so die ersten Dinge die mir einfallen... gibt bestimmt noch vieles mehr...

Gruß aus dem Badischen
Patrick
Bitte warten ..
Mitglied: dog
01.09.2011 um 00:56 Uhr
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.

Die einzige Lösung heißt nach wie vor: Domain Isolation mit IPSec und Zertifikaten.

Übrigens: Standardmäßig kann jeder Benutzer neue Rechner zu AD hinzufügen.
Bitte warten ..
Mitglied: SlainteMhath
01.09.2011 um 08:08 Uhr
Nein!
802.1x hilft da gar nichts. Das ist so sicher wie die unten angebotenen DHCP-Reservierungen: Gar nicht.
Das musst Du mir bitte mal genauer erklären.
Bitte warten ..
Mitglied: dog
01.09.2011 um 09:10 Uhr
802.1x läuft nur genau einmal ab, nämlich wenn der Port seinen Status ändert (und evtl. nach einem definierten Zeitintervall).
Es reicht also schon einen Switch zwischen einen legalen Rechner zu stecken, den sich anmelden zu lassen, dann die MAC-ID und IP auf den eigenen zu kopieren und den anderen abzustecken.
Wenn man es noch weiter treiben wollte könnte man auch einen Router benutzen und immer nur den 802.1x-Traffic an den legalen PC weiterleiten und alles andere an den eigenen.
Bitte warten ..
Mitglied: SlainteMhath
01.09.2011 um 09:30 Uhr
@dog
Hm, so hab ich das noch gar nicht betrachtet (v.A. das mit dem Router ist eigentl. eine klasse Idee Ok, wieder was gelernt)
Man kannsich aber auch gleich eine NAC Lösung die auf Hardware basiert holen (Enterasys, CISCO) - aber das kommt letztendlich auf das Sicherheiutsbedürfnis (und das Budget) des TEs an.
Bitte warten ..
Mitglied: DerWoWusste
01.09.2011 um 17:55 Uhr
Moin.
Du könntest genauer beschreiben, was eigentlich das Problem ist. Was gilt es denn zu schützen?
Wenn jemand mit einem fremden Rechner ankommt, dann befürchtest Du, dass... ? Hat dieser "jemand" auch Kenntnis eines Domänenkontos+Kennworts?
Hol das nach.

Wenn Du, wie von Unzhurst beschrieben, die Anmeldeberechtigungen beschneiden kannst und willst, kann von fremden Rechnern aus keine Anmeldung (und damit auch keine Nutzung von Freigaben oder Durchsuchen des ADs) stattfinden. Selbstverständlich ist weiterhin eine Ausbreitung von Netzwerkwürmern möglich, falls keine Maßnahmen (Patching und/oder Firewalls) getroffen werden.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
Win 10: Remotedesktop Dienst tot nach Rechner-Neustart (7)

Frage von StefanMUC zum Thema Windows 10 ...

Microsoft
gelöst Win8 Pro Rechner auf Win 10 pro updaten (6)

Frage von thomasreischer zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...