cubitus
Goto Top

Zugriff nur für Domänencomputer

Hallo zusammen,

ich habe in einem W2k3 AD 200 Clients, die mit Gruppenrichtlinien, Antivirus etc. relativ stark eingeschränkt sind.

Nun passiert es aber immer wieder mal, dass ein cleverer User (vorzugsweise einer, dessen FirmenPC ein Laptop ist) sein privates Laptop mitbringt (merkt kein Mensch...), per DHCP eine IP Adresse zugewiesen bekommt, sich mit Firmenuser/passwort mit den Freigaben verbindet, im Internet rumsurft (Proxy wird mit WPAD zugewiesen, damit die Leute auch zu Hause surfen können) und somit völlig unkontrolliert arbeiten - oder eben sonstwas machen kann. Da mittlerweile schon die Computerbild Programme anpreist, die sich via https durch jede Firewall tunneln, lässt mich das immer schlechter schlafen...

Irgendwas mit MAC Adressen zu machen ist a. ein Mordsaufwand und b. auch nicht der Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige MAC Adresse zuzuweisen.

Damit kome ich zu meiner Lieblingsfrage: Wie machen andere das? Wie verhindert man sowas - oder wenn das nicht geht, wie kann der Admin eine Nachricht bekommen, wenn ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?

ratlos
Frank

Content-Key: 38689

Url: https://administrator.de/contentid/38689

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: Shaby
Shaby 24.08.2006 um 13:32:06 Uhr
Goto Top
hallo frank

habe zwar nicht die perfekte lösung jedoch folgende Ideen:

als erstes würd ich der chefabteilung klar machen, dass ihr interne richtlinien benötigt die das mitbringen oder benutzen von privaten laptops untersagt.

bei den freigaben, würde ich die freigabe nur auf bestimmte gruppen beschränken, die ja dann nicht auf dem laptop sind

ansonsten lässt sich sicher auch viel mit dem ISA Server machen.

Weitere Ideen

grüsse shaby
Mitglied: Dani
Dani 24.08.2006 um 13:33:41 Uhr
Goto Top
Hi,
also wir würden hier bei uns eine Abmahung schreiben, da es bei uns eine Vorschrift gibt. Die ca. folgenden Inhalt hat: Am Frimennetzwerk drüfen nur PC/NB angeschlossen werden, die von der Abteilung xxx genehmigt wurden oder in der Fima bestellt werden.

Dies hat natürlich bei uns jeder Unterschreiben müssen und somit wäre eine Abmahung fällig.


Damit kome ich zu meiner Lieblingsfrage: Wie> machen andere das? Wie verhindert man
sowas - oder wenn das nicht geht, wie kann der Admineine Nachricht bekommen, wenn
ein Rechner in seinem Netz rumschwirrt, ohne zur Domäne zu gehören?
Wenn du die DHCP Administration aufmachst, siehst du unter "Release" die vergebenen IP mit dem dazu gehörigen Namen.

Irgendwas mit MAC Adressen zu machen ist a. ein Mordsaufwand und b. auch nicht der
Weisheit letzter Schluss, weil es immer einfacher wird, der eigenen Karte jede beliebige
MAC Adresse zuzuweisen.
Du könntest im DHCP für alle Computer die IP-Reservieren. Ist zwar ein kl. Aufwand, jedoch kann ein UNBEKANNTER keine IP erhalten.


Gruß
Dani
Mitglied: Cubitus
Cubitus 24.08.2006 um 14:58:20 Uhr
Goto Top
Hi,

die Abmahnung ist doch nur eine leere Drohung. Die Laptops sind von IBM, Siemens oder Toshiba und ich weiss von wenigstens 3 Usern, dass sie privat genau dasselbe Modell besitzen. Das Risiko, mit dem privaten Laptop erwischt zu werden, geht momentan gegen null.

Reservierungen kann ich doch nur anhand der MAC Adresse vergeben. Klar wäre das denkbar, aber Aufwand und Ergebnis passen da für mich nicht zusammen.

Wenn ich nämlich tatsächlich den grossen (!!!) Aufwand betreibe, 200 MAC Adressen zu sammeln und vor allem zu pflegen, hilft mir das auch nix, wenn der User irgendwie an die IP Adresse seines Firmenlaptops kommt und die per Hand ohne jede DHCP Mitwirkung in seinen privaten Rechner einträgt. Oder einfach ein paar Adressen durchprobiert. Mindestens beim VPN Zugriff kann er IPs erspähen und wenn es zu einem Adresskonflikt kommen sollte, packt er ganz schnell sein Laptop weg und keiner hats gesehen...

Wir haben einen fetten HP Switch, über den eigentlich alles relevante läuft. Ich habe schon daran gedacht, auf dem in irgendeiner Form irgendetwas prüfen zu können, aber alles, was ich bisher gefunden habe, kostet entweder ein Schweinegeld oder hilft mir nicht weiter...

Nee, warum hab ich bloss angefangen, mir darüber Sorgen zu machen...
Frank
Mitglied: Dani
Dani 24.08.2006 um 15:03:30 Uhr
Goto Top
Hi,
die Abmahnung ist doch nur eine leere Drohung.
Es zeigt ihm aber das du hinter ihm her bist und das du die Möglichkeit hast den Missbrauch zu sehen!
Naja...das würde ich nicht sagen. Bei 3 Abmahungen hast ein Problem bei uns. Es dazu führen, dass er/sie seinen Arbeitsplatz verliert.


Gruß
Dani
Mitglied: DerWoWusste
DerWoWusste 01.03.2011 um 07:43:51 Uhr
Goto Top
Was ist denn das? 2006?

Beitrags-Recycling, weil vor 8 noch so wenig los ist? face-smile
Mitglied: BigWim
BigWim 01.03.2011 um 08:13:34 Uhr
Goto Top
Danke für den Hinweis.

Ich achte immer noch zu wenig auf's Datum und hatte schon eine "Superidee" face-wink

Markus
Mitglied: 84331
84331 01.03.2011 um 09:30:35 Uhr
Goto Top
Eine Möglichkeit wäre Kennungen für deine Pcs zu verteilen... Ich weis nicht ob dir Windows Peacy etwas sagt die haben bestimmte Knotennamen das ein normales Windows System nicht hat. Oder eine Monitoringsoftware Nagios zum Beispiel zur Überwachung die wäre beispielsweise mit dem Mac Adress Filter effektiv also praktisch erkennt die Monitoring Software eine "falsche" Macadresse oder einen "falschen" Computer, dann kannst du sperren im Router oder Server.
Mitglied: mike55
mike55 01.03.2011 um 09:31:00 Uhr
Goto Top
Hallo,

Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection), damit kannst du Clients auf gewisse Anforderungen überprüfen, z.b. Domänenmitgied, Virenscanner aktuell, Windows Update auf dem neuesten Stand, etc. Wenn der Client den Anforderungen gerecht wird, kommt er ins Lan, ansonsten in ein Vlan. Von dem Vlan könntest du die Rechte geben auf Microsoft Update zuzugreifen. Somit kannst du verhindern, dass Computer ohne aktuelle Updates erst mal aktualisieren müssen.

Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.

Grüße, Michael.
Mitglied: KowaKowalski
KowaKowalski 01.03.2011 um 12:32:25 Uhr
Goto Top
Zitat von @DerWoWusste:
Was ist denn das? 2006?


Cold Case - Kein Opfer ist je vergessen ;)
Mitglied: DerWoWusste
DerWoWusste 01.03.2011 um 19:13:56 Uhr
Goto Top
Müsste man eigentlich dem Administrator.de-Superadmin melden...
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.

Zur Lösung: kommt eigentlich niemand auf die Idee, die Anzahl der Anmeldeworkstations auf die benötigten zu begrenzen? Ist zwar Aufwand, aber wär somit gelöst.
Mitglied: Dani
Dani 01.03.2011 um 19:31:05 Uhr
Goto Top
Zitat von @DerWoWusste:
Müsste man eigentlich dem Administrator.de-Superadmin melden...
Die Anzahl der Antworten steht nämlich bei null - die Forensoftware spinnt.
Hey,
wo steht die Anzeige bei Null?


Grüße,
Dani
Mitglied: DerWoWusste
DerWoWusste 01.03.2011 um 19:36:15 Uhr
Goto Top
Na in der Beitragsliste https://administrator.de/ticker/
Mitglied: mike55
mike55 01.03.2011 um 21:20:53 Uhr
Goto Top
Hallo, Ich bins nochmal,

Es gibt auch noch eine Monitoring-Lösung, welche die MAC-Adressen von den Switches ausliest und es dir anzeigt, wenn neue Geräte angesteckt werden. So kannst du deinem Kollgen auf die Schulter klopfen, sollte er ein Gerät anstecken. Wenn du interessiert daran bist, schreib ein PN.

Nochmal Grüße, Michael.
Mitglied: goscho
goscho 01.03.2011 um 21:30:58 Uhr
Goto Top
Zitat von @mike55:
Hallo,

Seit Windows 2008 gibt es ein Feature namens NAP (Network Access Protection),
...
Das Ganze funktioniert jedoch erst sein Windows XP SP3. Auf der Serverseite ist mindestens Windows Server 2008 notwendig.
Und wer eine gemischte Umgebung hat, der kann auch NAC (Network Access Control) von Symantec nutzen.
Mitglied: BigWim
BigWim 02.03.2011 um 09:15:44 Uhr
Goto Top
Ich hätte es mit einem im Loginscript dsquery computer .... probiert, in der Annahme, dass der Benutzer kein Admin ist und das Notebook eigenständig in die Domäne heben kann.

Kein Treffer, keine Anmeldung

Markus
Mitglied: mike55
mike55 02.03.2011 um 11:53:16 Uhr
Goto Top
Wie willst du es schafen, mit einem Logon-Skript andere Computer aus deinem Netzwerk auszuschließen?

Eine weitere Möglichkeit wäre, die Netzwerk-Kommunikation per IPsec zu verschlüsseln. Die Domänen-Computer bekommen per GPO das Zertifikat zum entschlüsseln des Netzwerkverkehrs, und andere Computer können nicht mehr mit deinem Server kommunizieren.

Das dürfte vielleicht sogar die schnellste Möglichkeit sein. Wireshark und ähnliche Tools kannst du danach leider vergessen.

Leider bringt jeder Sicherheits-Feature auch Nachteile / Einschränkungen.

Grüße, Michael
Mitglied: DerWoWusste
DerWoWusste 02.03.2011 um 12:00:33 Uhr
Goto Top
...und für jeden Gedanken an diesen Uralt-Beitrag gibt's nun eine Mail an uns alle - wann kommt endlich die unsubscribe-Funktion in diesem schönen Forum?