Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff nur für Domänencomputer

Frage Microsoft Windows Server

Mitglied: Cubitus

Cubitus (Level 1) - Jetzt verbinden

24.08.2006, aktualisiert 15:03 Uhr, 7158 Aufrufe, 17 Kommentare

Hallo zusammen,

ich habe in einem W2k3 AD 200 Clients, die mit Gruppenrichtlinien, Antivirus etc. relativ stark eingeschränkt sind.

Nun passiert es aber immer wieder mal, dass ein cleverer User (vorzugsweise einer, dessen FirmenPC ein Laptop ist) sein privates Laptop mitbringt (merkt kein Mensch...), per DHCP eine IP Adresse zugewiesen bekommt, sich mit Firmenuser/passwort mit den Freigaben verbindet, im Internet rumsurft (Proxy wird mit WPAD zugewiesen, damit die Leute auch zu Hause surfen können) und somit völlig unkontrolliert arbeiten - oder eben sonstwas machen kann. Da mittlerweile schon die Computerbild Programme anpreist, die sich via https durch jede Firewall tunneln, lässt mich das immer schlechter schlafen...

Irgendwas mit MAC Adressen zu machen ist a. ein Mordsaufwand und b. auch nicht der Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige MAC Adresse zuzuweisen.

Damit kome ich zu meiner Lieblingsfrage: Wie machen andere das? Wie verhindert man sowas - oder wenn das nicht geht, wie kann der Admin eine Nachricht bekommen, wenn ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?

ratlos
Frank
Mitglied: Shaby
24.08.2006 um 13:32 Uhr
hallo frank

habe zwar nicht die perfekte lösung jedoch folgende Ideen:

als erstes würd ich der chefabteilung klar machen, dass ihr interne richtlinien benötigt die das mitbringen oder benutzen von privaten laptops untersagt.

bei den freigaben, würde ich die freigabe nur auf bestimmte gruppen beschränken, die ja dann nicht auf dem laptop sind

ansonsten lässt sich sicher auch viel mit dem ISA Server machen.

Weitere Ideen

grüsse shaby
Bitte warten ..
Mitglied: Dani
24.08.2006 um 13:33 Uhr
Hi,
also wir würden hier bei uns eine Abmahung schreiben, da es bei uns eine Vorschrift gibt. Die ca. folgenden Inhalt hat: Am Frimennetzwerk drüfen nur PC/NB angeschlossen werden, die von der Abteilung xxx genehmigt wurden oder in der Fima bestellt werden.

Dies hat natürlich bei uns jeder Unterschreiben müssen und somit wäre eine Abmahung fällig.


Damit kome ich zu meiner Lieblingsfrage: Wie> machen andere das? Wie verhindert man
sowas - oder wenn das nicht geht, wie kann der Admineine Nachricht bekommen, wenn
ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?
Wenn du die DHCP Administration aufmachst, siehst du unter "Release" die vergebenen IP mit dem dazu gehörigen Namen.

Irgendwas mit MAC Adressen zu machen ist a. ein Mordsaufwand und b. auch nicht der
Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige
MAC Adresse zuzuweisen.
Du könntest im DHCP für alle Computer die IP-Reservieren. Ist zwar ein kl. Aufwand, jedoch kann ein UNBEKANNTER keine IP erhalten.


Gruß
Dani
Bitte warten ..
Mitglied: Cubitus
24.08.2006 um 14:58 Uhr
Hi,

die Abmahnung ist doch nur eine leere Drohung. Die Laptops sind von IBM, Siemens oder Toshiba und ich weiss von wenigstens 3 Usern, dass sie privat genau dasselbe Modell besitzen. Das Risiko, mit dem privaten Laptop erwischt zu werden, geht momentan gegen null.

Reservierungen kann ich doch nur anhand der MAC Adresse vergeben. Klar wäre das denkbar, aber Aufwand und Ergebnis passen da für mich nicht zusammen.

Wenn ich nämlich tatsächlich den grossen (!!!) Aufwand betreibe, 200 MAC Adressen zu sammeln und vor allem zu pflegen, hilft mir das auch nix, wenn der User irgendwie an die IP Adresse seines Firmenlaptops kommt und die per Hand ohne jede DHCP Mitwirkung in seinen privaten Rechner einträgt. Oder einfach ein paar Adressen durchprobiert. Mindestens beim VPN Zugriff kann er IPs erspähen und wenn es zu einem Adresskonflikt kommen sollte, packt er ganz schnell sein Laptop weg und keiner hats gesehen...

Wir haben einen fetten HP Switch, über den eigentlich alles relevante läuft. Ich habe schon daran gedacht, auf dem in irgendeiner Form irgendetwas prüfen zu können, aber alles, was ich bisher gefunden habe, kostet entweder ein Schweinegeld oder hilft mir nicht weiter...

Nee, warum hab ich bloss angefangen, mir darüber Sorgen zu machen...
Frank
Bitte warten ..
Mitglied: Dani
24.08.2006 um 15:03 Uhr
Hi,
die Abmahnung ist doch nur eine leere Drohung.
Es zeigt ihm aber das du hinter ihm her bist und das du die Möglichkeit hast den Missbrauch zu sehen!
Naja...das würde ich nicht sagen. Bei 3 Abmahungen hast ein Problem bei uns. Es dazu führen, dass er/sie seinen Arbeitsplatz verliert.


Gruß
Dani
Bitte warten ..
Mitglied: DerWoWusste
01.03.2011 um 07:43 Uhr
Was ist denn das? 2006?

Beitrags-Recycling, weil vor 8 noch so wenig los ist?
Bitte warten ..
Mitglied: BigWim
01.03.2011 um 08:13 Uhr
Danke für den Hinweis.

Ich achte immer noch zu wenig auf's Datum und hatte schon eine "Superidee"

Markus
Bitte warten ..
Mitglied: 84331
01.03.2011 um 09:30 Uhr
Eine Möglichkeit wäre Kennungen für deine Pcs zu verteilen... Ich weis nicht ob dir Windows Peacy etwas sagt die haben bestimmte Knotennamen das ein normales Windows System nicht hat. Oder eine Monitoringsoftware Nagios zum Beispiel zur Überwachung die wäre beispielsweise mit dem Mac Adress Filter effektiv also praktisch erkennt die Monitoring Software eine "falsche" Macadresse oder einen "falschen" Computer, dann kannst du sperren im Router oder Server.
Bitte warten ..
Mitglied: mike55
01.03.2011 um 09:31 Uhr
Hallo,

Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection), damit kannst du Clients auf gewisse Anforderungen überprüfen, z.b. Domänenmitgied, Virenscanner aktuell, Windows Update auf dem neuesten Stand, etc. Wenn der Client den Anforderungen gerecht wird, kommt er ins Lan, ansonsten in ein Vlan. Von dem Vlan könntest du die Rechte geben auf Microsoft Update zuzugreifen. Somit kannst du verhindern, dass Computer ohne aktuelle Updates erst mal aktualisieren müssen.

Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.

Grüße, Michael.
Bitte warten ..
Mitglied: KowaKowalski
01.03.2011 um 12:32 Uhr
Zitat von DerWoWusste:
Was ist denn das? 2006?


Cold Case - Kein Opfer ist je vergessen ;)
Bitte warten ..
Mitglied: DerWoWusste
01.03.2011 um 19:13 Uhr
Müsste man eigentlich dem Administrator.de-Superadmin melden...
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.

Zur Lösung: kommt eigentlich niemand auf die Idee, die Anzahl der Anmeldeworkstations auf die benötigten zu begrenzen? Ist zwar Aufwand, aber wär somit gelöst.
Bitte warten ..
Mitglied: Dani
01.03.2011 um 19:31 Uhr
Zitat von DerWoWusste:
Müsste man eigentlich dem Administrator.de-Superadmin melden...
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.
Hey,
wo steht die Anzeige bei Null?


Grüße,
Dani
Bitte warten ..
Mitglied: mike55
01.03.2011 um 21:20 Uhr
Hallo, Ich bins nochmal,

Es gibt auch noch eine Monitoring-Lösung, welche die MAC-Adressen von den Switches ausliest und es dir anzeigt, wenn neue Geräte angesteckt werden. So kannst du deinem Kollgen auf die Schulter klopfen, sollte er ein Gerät anstecken. Wenn du interessiert daran bist, schreib ein PN.

Nochmal Grüße, Michael.
Bitte warten ..
Mitglied: goscho
01.03.2011 um 21:30 Uhr
Zitat von mike55:
Hallo,

Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection),
...
Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.
Und wer eine gemischte Umgebung hat, der kann auch NAC (Network Access Control) von Symantec nutzen.
Bitte warten ..
Mitglied: BigWim
02.03.2011 um 09:15 Uhr
Ich hätte es mit einem im Loginscript dsquery computer .... probiert, in der Annahme, dass der Benutzer kein Admin ist und das Notebook eigenständig in die Domäne heben kann.

Kein Treffer, keine Anmeldung

Markus
Bitte warten ..
Mitglied: mike55
02.03.2011 um 11:53 Uhr
Wie willst du es schafen, mit einem Logon-Skript andere Computer aus deinem Netzwerk auszuschließen?

Eine weitere Möglichkeit wäre, die Netzwerk-Kommunikation per IPsec zu verschlüsseln. Die Domänen-Computer bekommen per GPO das Zertifikat zum entschlüsseln des Netzwerkverkehrs, und andere Computer können nicht mehr mit deinem Server kommunizieren.

Das dürfte vielleicht sogar die schnellste Möglichkeit sein. Wireshark und ähnliche Tools kannst du danach leider vergessen.

Leider bringt jeder Sicherheits-Feature auch Nachteile / Einschränkungen.

Grüße, Michael
Bitte warten ..
Mitglied: DerWoWusste
02.03.2011 um 12:00 Uhr
...und für jeden Gedanken an diesen Uralt-Beitrag gibt's nun eine Mail an uns alle - wann kommt endlich die unsubscribe-Funktion in diesem schönen Forum?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (2)

Frage von JulianOhm zum Thema Windows Server ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...