Canni 11 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Hallo zusammen, wir setzen in der Firma (ca. 13 Benutzer) den Windows 2003 Server als Terminalserver ein. Aus diversen Gründen ermöglichen wir (auf Anweisung GL) immer mehr Benutzern, sich zusätzlich zu Ihrem Notebook auch von zu Hause aus via VPN und dann Remotedesktopverbindung mit unserem Server zu verbinden. In wie weit ist dies bedenklich (Laufwerksmapping etc.?)? Auf dem Server ist NOD32 installiert. Danke! Zitieren Link zu diesem Kommentar
cipollini22 10 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Das hängt von vielen Faktoren ab. Eine Unbedenklichkeits-Erklärungs wird Dir hier niemand ausstellen. Das fängt schon bei den Clients an. Haben die User Admin-Rechte? Sind alle Patches drauf? Sind die Virenscanner-Sigs aktuell? Dann kommen die Clients durch eine Firewall auf den TS. Und hier fängt das Spielchen von vorne an: Rechte, Patche, Sigs usw. Technisch möglich wäre es, die Clients erstmal in eine Art Quarantäne zu stecken, bis die Parameter abgefragt worden sind. Ich meine der Isa-Server würde so etwas bieten. Ist aber wie alles eine Frage der Finanzen. Grundsätzlich haben wir noch keine schlechte Erfahrungen mit den Usern gemacht, die per VPN sich bei uns einwählen, was sich aber in Zukunft theoretisch ndern könnte. Ich wills nicht hoffen. Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 So lange du die VPN Verbindung nicht mit PPTP machst, sollte das kein Problem darstellen. Die VPN Verbindung ist ja verschlüsselt und alles was zu deinem Firmennetzwerk geht sicher. Aber wir reden hier von Firmennotebooks oder? :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 So lange du die VPN Verbindung nicht mit PPTP machst, sollte das kein Problem darstellen. kannst du uns kurz erklären, warum?! grizzly999 Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 also grundsätzlich ist pptp natürlich nicht unsicher (war etwas falsch vom mir im obrigen post ausgedrückt). aber mit ms-chapv2 und einem schwachen kennwort doch nicht das optimale. ausserdem bietet pptp keine prüfung der datenintegrität oder authentifizierung des datenursprungs. deshalb ist auch wenn möglich l2tp/ipsec vorzuziehen (sogar von microsoft selber vorgeschlagen). Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 4. Juli 2007 Autor Melden Teilen Geschrieben 4. Juli 2007 Danke für die Antworten. Natürlich verwenden wir IPSEC. Ja, die User greifen alle per Notebook der Firma via VPN auf den Server zu. Viele User richten sich die VPN-Verbindung aber auch am heimischen PC (privat) ein und verbinden sich so + Remotedesktopverbindung. Leider gibt es da keine Möglichkeit bei uns, das zu trennen. Außer, man würde den Usern ihr Kennwort nicht nennen. Ist aber von der Geschäftsleitung so toleriert. Theoretisch würde der NOD32 ja den Virus sofort erkennen, sobald er auf den Terminalserver gelangt. Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Also als default würde ich das nutzen von VPN über einen privaten Rechner verbieten und das dann durch eine Richtlinie o.ä. im Unternehmen kommunizieren. Hast du Kontrolle über den privaten Rechner. Kennst du den Patchstand/Virenscanner/Firewall usw.? Ich würde sagen nein und somit kannst du nicht sagen, was so alles durch deinen Tunnel geschickt wird. Aber wenigstens sind die Viren durch den Tunnel geschützt *g* Du hast z.b. die Möglichkeit über einen ISA Server den VPN Client als erstes in ein Quarantäne-Netzwerk zu stecken und dann via Policy gewisse Voraussetzungen am Client prüfen (Patchstand/aktueller Virenscanner/aktive Firewall usw). Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 4. Juli 2007 Autor Melden Teilen Geschrieben 4. Juli 2007 Stimmt, aber ISA Server kostet Geld :-( Meintgest Du das mit der Richtlinie im Unternehmen als organisatorische oder technische Richtlinie? Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Wie wärs mit ner Hardware-Firewall und dem entsprechenden VPN-Client dazu? Den Client installierst auf den Lappis und packst die CD dann weg, dann ist Schluß mit Privatrechner. Zitieren Link zu diesem Kommentar
Dash 10 Geschrieben 5. Juli 2007 Melden Teilen Geschrieben 5. Juli 2007 Hi, Danke für die Antworten. Natürlich verwenden wir IPSEC. Ja, die User greifen alle per Notebook der Firma via VPN auf den Server zu. Viele User richten sich die VPN-Verbindung aber auch am heimischen PC (privat) ein und verbinden sich so + Remotedesktopverbindung. Leider gibt es da keine Möglichkeit bei uns, das zu trennen. Das hoert auf wenn man nur die PC´s zulässt die im AD gelistet sind. ;) Gruß Dash Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 6. Juli 2007 Autor Melden Teilen Geschrieben 6. Juli 2007 Danke für die Antworten. Ich muss Euch aber glaub mal aufklären :-) Wir verwenden hier 1 Server, auf dem 2003 R2 läuft. Server fungiert als Domänencontroller und wird als Terminalserver eingesetzt. Bevor ihr Euch aufregt: es sind keine Clients angebunden, d.h. alle Rechner oder Notebooks in der Firma sind eigenständig und lediglich als Arbeitsgruppe verbunden. Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 6. Juli 2007 Melden Teilen Geschrieben 6. Juli 2007 Wir verwenden hier 1 Server, auf dem 2003 R2 läuft. Server fungiert als Domänencontroller und wird als Terminalserver eingesetzt. Bevor ihr Euch aufregt: es sind keine Clients angebunden, d.h. alle Rechner oder Notebooks in der Firma sind eigenständig und lediglich als Arbeitsgruppe verbunden. Wie habe ich das zu verstehen? Ihr setzt einen Server als DC ein und die Clients sind nicht Mitglied der Domäne? Warum dann eine Domäne? Dann zur Frage mit dem Terminalzugriff via VPN: Ich persönlich kenne einige Firmen, die ihre Außendienstler oder Heimarbeiter via VPN und TS anbinden. Wenn alles anständig konfiguriert ist und Ihr keine "Spielzeuglösung" einsetzt, spricht nichts dagegen. Knackpunkt sind halt, wie auch oben schon erwähnt, die Clients. Man weiß nie, wie sicher die Anwender Heim-PCs betreiben. Geht es lediglich um Notebooks der Außendienstler (ADs), hast Du ja als Admin die Möglichkeit, die Geräte entsprechend sicher einzurichten und gegen Manipulation der ADs abzuschotten (Entzug von Benutzerrechten, etc...) Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 7. Juli 2007 Autor Melden Teilen Geschrieben 7. Juli 2007 Hallo, danke für die Antwort, freut mich, dass ihr mich so gut beratet. Aaallso ... die Domäne haben wir auf dem Terminalserver hauptsächlich wegen dem David eMail-Server und der leichteren Anwend- und Verwaltbarkeit der Gruppenrichtlinien installiert. Es wäre natürlich eine schöne Lösung, wenn alle Notebooks in einer Domäne (nicht der des TS) wären. Dazu würden wir auf allen Notebooks neue Betriebssysteme (oder zumindest Updates) benötigen + einen neuen Server. Dazu kommt, dass es natürlich auch nicht ganz so reibungslos ist, Notebooks anständig in eine Domäne zu bringen, wie das z.B. bei Desktop-Rechnern der Fall wäre. Admin-Rechner haben die Benutzer auf Ihren Notebooks, das ist von der Geschäftsleitung so geduldet/gewünscht. Wurde eigentlich auch noch kein Missbrauch betrieben, bis auf ein bis zwei Trojanern, die aber durch den NOD32 zuverlässig entdeckt wurden. Ich weiss - ohne Adminrechne haben es Viren etc. tausendmal schwerer ... Worüber man aber mal nachdenken sollte wäre eine Firewalllösung, die zentral verwaltet werden kann, denn: unsere Notebooks sind einmal bei uns im Büro im Lan, dann gehen die Benutzer von zu Hause ins Internet, dann verwenden sie öffentliche Access-Points oder UMTS-Karten ... wer kennt hier einen guten Anbieter? Wir verwenden auf dem Server hauptsächlich ein Dispositionsprogramm, den David-eMailserver+David InfoCenter und noch ein paar kleinere Anwendungen (Adobe Acrobat etc.). Übernächste Woche kommt ein Lohnbuchhaltungsprogramm dazu. Ideal wäre es doch, wenn wir 2 Server hätten - richtig? Den 1. Server verwende ich als PDC, dort kommt der Lizenzserver drauf, das AD, die Datenbank des Dispositionsprogrammes, der David-eMailserver etc. Auf den 2. Server kommen die Terminalserverdienste, das Frontend der Datenbank, das Tobit InfoCenter ... ? Leider lässt sich das jetzt nicht mehr machen, da mein Chef den Termin für das Lohnbuchprogramm festsetzen musste.... Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 8. Juli 2007 Autor Melden Teilen Geschrieben 8. Juli 2007 Da wissen aber mehr Rat :D Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 9. Juli 2007 Melden Teilen Geschrieben 9. Juli 2007 Da wissen aber mehr Rat :D Der best Rat ist folgender: Setz dich auf deinen Hintern, beschäftige dich mit dem Domänenkonzept, verstehe was dahinter steckt, nimm anschließend deien Clients in die Domäne auf und fange an die mit Sicherheitskonzepten zu beschäftigen und sie zu verstehen. Das was du da machst (Clients in Arbeitsgruppen, Domäne nur wegen Tobit und ISA Server ist zu teuer) ist Bastelkram auf ComputerBald Niveau! Wenn du Sicherheit willst nimm Geld in die Hand (Sicherheit und Geld sparen sind zwei Dinge die sich ausschließen!), bilde dich fort und konzipiere eine vernünftige Domäne mit vernünftigem Sicherheitskonzept. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.