Jump to content

Benutzer verbinden sich von zu Hause aus zum Terminal-Server - Gefahr?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

danke für die Antwort. Es geht leider - gerade bei Domänenkonzepten - um Geld, das unsere Geschäftsleitung nicht einfach so bereit ist, hinzulegen. Wie soll ich bitte eine Domäne umsetzen, wenn jeder zweite Notebook unserer Mitarbeiter XP Home drauf hat, weil es der Privatrechner des Users ist?

 

Den Terminalserver hat seinerzeit ein "Experte" einer Fremdfirma eingerichtet, der mehr verpfuscht hat, als er richtig gemacht hat. Deshalb werde ich den Server bald auch komplett neu aufsetzen.

 

David wurde damals als Domäne aufgesetzt, da wäre es jetzt unklug, nach einem Neuaufsetzen des Servers ohne Domäne zu verfahren. Warum das so ist, kann z.B. in David-Foren oder der Support Base nachgelesen werden.

 

Was bringt mir jetzt ein ISA Server auf einem Terminalserver? Meiner Meinung nach nichts.

 

WENN, dann würde ich es mir so wünschen:

 

1 neuer Server, der als Domänencontroller, Backend für die Datenbanken, Datenspeicher, Lizenzserver etc. fungiert. Eventuell hier noch einen ISA Server drauf. Hier hat kein User was drauf verloren. Diesen Server könnte man dann auch für die Einbindung der Clients verwenden.

 

Dann der derzeitige Server NUR mit den Anwendungen, die die Benutzer in die Finger bekommen sollen.

 

Das können wir jetzt aber nicht mehr so leicht realisieren, weil mein Chef mich letzten Freitag informiert hat, dass nächste Woche ein Lohn- und Fakturaprogramm auf unseren Server muss. So schnell bekomme ich leider keinen neuen Server her.

 

Würden wir jeden Notebook in die Domäne einbinden, käme ja nach jeder Domänenanmeldung ohne Netzwerkverbindung (z.B. unterwegs) immer eine Fehlermeldung kommen, dass der DC nicht zur Verfügung steht, richtig? Auuußer, man würde z.B. eine VPN-Verbindung vor der Anmeldung herstellen.

 

Unsere User machen es eben so: 70 Prozent der Arbeit erfolgt lokal auf dem Notebook mit vollen Admin-Rechten (so gewünscht) ... wenn Terminalserver erforderlich: 1. UMTS-Karte einschieben, 2. UMTS-Verbindung herstellen, 3. VPN-Verbindung aktivieren 4. RDC starten --> fertig ...

 

Kannst Du meine Problematik nachvollziehen?

Link zu diesem Kommentar

Wie soll ich bitte eine Domäne umsetzen, wenn jeder zweite Notebook unserer Mitarbeiter XP Home drauf hat, weil es der Privatrechner des Users ist?

 

Dann müssen die getauscht werden.

 

Was bringt mir jetzt ein ISA Server auf einem Terminalserver? Meiner Meinung nach nichts.

 

Es geht nicht um einen ISA Server AUF dem TS, sondern VOR dem TS!

 

WENN, dann würde ich es mir so wünschen:

 

1 neuer Server, der als Domänencontroller, Backend für die Datenbanken, Datenspeicher, Lizenzserver etc. fungiert. Eventuell hier noch einen ISA Server drauf. Hier hat kein User was drauf verloren. Diesen Server könnte man dann auch für die Einbindung der Clients verwenden.

 

Dann der derzeitige Server NUR mit den Anwendungen, die die Benutzer in die Finger bekommen sollen.

 

Das können wir jetzt aber nicht mehr so leicht realisieren, weil mein Chef mich letzten Freitag informiert hat, dass nächste Woche ein Lohn- und Fakturaprogramm auf unseren Server muss. So schnell bekomme ich leider keinen neuen Server her.

 

Hast du deinem Chef schon mal gesagt dass das Unsinn ist was er da macht?

 

Würden wir jeden Notebook in die Domäne einbinden, käme ja nach jeder Domänenanmeldung ohne Netzwerkverbindung (z.B. unterwegs) immer eine Fehlermeldung kommen, dass der DC nicht zur Verfügung steht, richtig? Auuußer, man würde z.B. eine VPN-Verbindung vor der Anmeldung herstellen.

 

Falsch, der User würde sich mit dem lokal gespeicheten Profil anmelden.

Ausserdem würde ich lieber meien User mit Fehlermeldungen leben lasse, als mich mit einem hochgradig unsicheren System!

 

Unsere User machen es eben so: 70 Prozent der Arbeit erfolgt lokal auf dem Notebook mit vollen Admin-Rechten (so gewünscht) ... wenn Terminalserver erforderlich: 1. UMTS-Karte einschieben, 2. UMTS-Verbindung herstellen, 3. VPN-Verbindung aktivieren 4. RDC starten --> fertig ...

 

Und warum soll das nicht mehr gehen wenn du eine Domäne hast in der alle Rechner sind?

Gleubst du dass alle Firmen mit großem Aussendienst so rumeiern und, mit einigen hundert Mitarbeitern keine Domäne haben?

 

Kannst Du meine Problematik nachvollziehen?

 

Wir haben nie gesagt dass wir das nicht nachvollziegen können, nur dass es Unsinn ist!

Link zu diesem Kommentar

Gestern erneutes Beispiel: der Chef wollte, dass ich einer Beraterin VPN- und RDC-Zugang einrichte. Auch auf einem - für uns -wildfremden PC.

 

Langfristig möchte ich wirklich auf den zusätzlichen Server (Datenbanken, DC etc.) zugehen!

 

Welche Alternativen gibt es noch zum ISA (nur in Hinblick auf die Sicherheit bez. des VPNs)?

 

Danke!

Link zu diesem Kommentar

Vernünftige Hardware-Firewalls wie Cisco PIX, Sonicwall, Watchguard, etc. sind eigenständige Geräte!

 

Eine Cisco PIX 501 gibts ab 400 Euro für 10 Nutzer. Mehr Nutzer kosten entsprechend ein bisschen mehr...

 

IPCOP erfordert ein eigenes Gerät. Ist ne Linux-Software-Geschichte. Allerdings tuts dafür ne alte Kiste... Auch ne ganz alte Kiste...

 

Viele Grüße, Stefan

Link zu diesem Kommentar

Hallo auch,

 

vielen Dank für Deine Antwort. Sorry, dass ich erst jetzt antworte. Mit IP-COP habe ich mich beschäftigt, ist ja ne spannende Sache Vor allem preislich :-)

 

Wir sind eine Firma, in der ca. 15 User in AD angelegt sind. Ca. 7 davon nutzen das Terminal-System täglich. Andere nur sporadisch, das ist z.B. der Steuerberater. Der sollte - von meinem Chef aus! - auch einen Zugang zum System erhalten. Oder die Support-Firma eines Herstellers eines Programmes, das wir verwenden (die haben sogar Adminrechte, weil die Dienste starten und stoppen können müssen). Melden sich aber nur nach Absprache und sehr selten an. Ich weiss, dass es soetwas in den meisten anderen Firmen nicht gibt. Das rührt aber auch daher, dass wir Mitarbeiter haben, die Zugriff auf die Anwendungen des TS benötigen, aber kein eigenes Notebook bekommen sollen (Kosten!). Die melden sich dann sporadisch mit ihrem privat-PC an, den ich natürlich nicht "kontrollieren" kann (Virenschutz, Patches etc). Auf den Firmen-Notebooks setzen wir NOD32 ein, mit Remote Administration. Auch auf dem TS. Super Sache!

 

Netzwerkübersicht:

 

Internetzugang: SDSL, führt auf einen Netgear FVG318. Hinter dem Router befindet sich ein Switch, der den Server und die Rechner, die sich hier im Büro befinden, verbinden. Prinzipiell haben wir hier nur ca. 3 Desktops, alles andere sind Notebooks, die nur sehr selten hier im LAN angeschlossen sind. Alle Rechner sind Arbeitsgruppen.

 

Der Netgear-Router stellt eine Verbindung per VPN zu einem "Außenstandort" her, bei dem ca. 3 User mit ihren Notebooks arbeiten.

 

Und zwar auf unserem Terminalserver. Dieser fungiert leider als eMailserver, Datenbankserver, DHCP, DNS, VPN etc. Daher leitet der Netgear FVG318 natürlich DHPC-Anfragen an den Server weiter.

 

So, zu diesem Server verbinden sich die User via VPN, von den unterschiedlichsten Orten aus (UMTS-Karte, von zu Hause aus etc.). Nach Aufbau der PPTP-Verbindung wird die Remotedesktop-Sitzung gestartet. Die Gruppenrichtlinien sind sehr fein konfiguriert, eben weil auf dem Server so viele Dienste laufen. Daher ist mein Appell an den Chef schon länger der, dass man einen neuen Server anschafft, auf den man Dienste auslagern kann.

Der Server ist deshalb ein DC, weil mir dies die Verwaltung der Gruppenrichtlinien erleichtert und vom DAVID-eMailserver gefordert ist.

 

Hier ist jetzt die Frage, was mir der IP-COP bringt. Eine Firewall habe ich auch im Netgear-Router, jedoch ist hier sicher die LOG-Möglichkeit begrenzter. Es ist alles eine Frage des Geldes. Ich brauche meinem Chef keine 1000-Euro-Firewall anzubieten, der Schuss geht nach hinten los. Und zwar gegen mich!

 

Was für einen neuen Server (Leistung) würdet ihr denn für diese Aufgabe bevorzuen? Soll die Datenbanken drauf haben, DHPC, DNS, DC und VPN. Hab nichts vergessen, hoffe ich :-) Der derzeitige "Allround-Server" soll nur noch die Terminalservices und die Anwendungen beinhalten.

 

So, jetzt legt los :-)

 

Danke!

Link zu diesem Kommentar

Sorry,

 

aber ich steige auch nach mehrfachem Lesen nicht durch, was da wie vermurkst ist bei euch.

Jedenfalls sehe ich da gaaanz großen Handlungsbedarf. :shock:

 

Und natürlich ist kein Chef bereit viel Geld für Computergeschichten auszugeben. Aber hast Du ihn schon einmal darauf hingewiesen, was passiert, wenn euer TS nicht mehr läuft, weil sich ein Virus oder sonstwas eingeschlichen hat, weil irgendjemand (sei es Mitarbeiter oder ein sonstiger von all den Leuten die bei euch Zugriff haben) etwas verstellt hat mit seinen zu hohen Rechten, das er lieber nicht angefasst hätte, weil sich gar jemand eingehackt hat, weil ........

 

Wie wichtig ist Deinem Chef der TS? Wer kann noch vernünftig arbeiten, wenn die Kiste für zwei Tage weg vom Fenster ist? Gibt es eigentlich irgendein Backup-Konzept?

 

Lass ihn mal ausrechnen, was euch für Kosten entstehen, sobald die Kiste down ist und dann rede nochmal mit ihm über Geld für IT...

 

Sorry für den Sarkasmus, aber da solltet ihr euch echt mal nen Profi dazuholen und von vorne anfangen und strukturiert einen Plan aufstellen...

 

Stefan

Link zu diesem Kommentar

Sorry - bezüglich Rechten sind alle User "Benutzer" und dazu noch in verschiedene Gruppen aufgeteilt. Gruppenrichtlinien gibt es auch, auch der Netgear-Router ist sehr restriktiv eingestellt.

 

Ich habe weniger vor Viren Angst, sondern eher vor "normalen" Systemschäden (System setzt aus, was weiss ich - trotz RAID gibt´s da ja ne Menge Möglichkeiten).

 

Weshalb soll das System bitte verpfuscht sein? Das System ist - für das, dass wir nur EIN Gerät haben, sicher ordentlich eingerichtet.

 

Wir führen ein Onlinebackup mit einem rennomierten Anbieter durch. Jede Datenbank/Datenbereich (eMail etc.) 2 mal täglich (unterschiedliche Backupaufträge) + 1 mal wöchentlich. Klappt bestens. Datenrücksicherung habe ich auch getestet, hat einwandfrei funktioniert.

Link zu diesem Kommentar

Hi,

 

Sorry wenn ich das so sagen muss, aber wenn ich lese wie euer Netz aufgebaut ist könnte ich ****en.

 

Jeder in der GL will auf Sparflamme sein. In der heutigen Zeit verständlich , jedoch muss man auch nachschaun wo man kürzt.

 

Hat sich mal dein Chef gefragt was eigentlich mal passiert wenn die komplette IT ausfällt? Ich gib dir mal ein Rechenbeispiel :

 

Bei 15 Nutzern, 2 Tage kompletter IT Ausfall. Nehmen wir mal grobgeschätzt jeder von euern Mitarbeitern bekommt 2000€ Netto, das macht am Tag ca 65€ das multiplitzieren war mal mit 15 und dann mit 2 ergibt 65x15x2 = 1950€ die er an Lohnkosten rausschmeisst , da die Mitarbeiter nicht arbeiten können. Ich will jetzt garnicht dazurechen was an Wiederherstellunskosten der IT so wie Umsatzausfall dazu kommt.

 

Ein bissel Betriebswirtschaftliches Denken und schon kennt man die Antwort. VORSORGEN

 

Ich nehme mal an das eure Firma mit Kundendaten arbeitet. Von Datenschutz der Daten ist bei dieser Konfiguration nicht die reden. Schlichtweg er existiert nicht.

 

Mal angenommen einer Hackt euer System und klaut Kundendaten. Stellt damit irgendein humbuk an und der Kunden bekommt davon wind. Wenn der rausbekommt wo der Hacker die daten her hat dann sieht das aber sowas von schlecht für eure Firma aus und insbesondere für dein Chef.

 

Ich gib dir mal ein paar Gesetzpassagen die du dein Chef unter die Nase halten kannst :

 

§ 91 Abs.2 AktG und KontraG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungs-system einzurichten, damit den Forbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

 

§ 93 Abs.2 AktG und KontraG Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines

Ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.

 

§ 43 Abs.1 GmbHG Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentli-chen Geschäftsmannes anzuwenden.

 

§ 9 BDSG "Technische und organisatorische Maßnahmen" Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

 

Gerne kann ich dir mal ein Leitfaden zukommen lassen der Gezielt an die GL geht. (Einfach PN an mich)

 

So und jetzt mal back to topic:

 

Eine richtige Firewall muss ran, vernünftiges Anti-Viren Konzept, Sicherheitskonzept aufsetzen, Rechner in die Domäne und von dort verwalten lassen.

 

Am besten holst du dir ein externen Sicherheitsberater (IT-Berater) ins haus der dem Chef mal die augen auf macht.

Link zu diesem Kommentar

Hallo! Danke für die ausführliche Antwort!

 

Erste Frage vorweg: was soll an diesem Virenschutzkonzept, das wir hier haben, nicht "vernünftig" sein?

 

Zweite Frage: welche Firewall (Produkt) empfiehlst Du? Geht`s Dir nur um die VPN-Anbindung?

 

Dritte Frage: wie soll ich XP Home Notebooks in eine Domäne bekommen :-)

 

Außerdem haben wir ca. 7 dauerhafte Nutzer, die anderen arbeiten nur hin und wieder am System.

 

Was kritisierst Du denn hauptsächlich an der Sicherheit? Die VPN-User oder die "Firewallfunktion" des FVG318 gegen "normale" Angriffe von außen? Kennst Du das Gerät überhaupt?

Link zu diesem Kommentar
Hallo! Danke für die ausführliche Antwort!

 

Erste Frage vorweg: was soll an diesem Virenschutzkonzept, das wir hier haben, nicht "vernünftig" sein?

 

 

Wenn ich es richtig verstanden hab gibt es nur ein Virenscanner (NOD32) auf den Server. Ein Anti-Viren Konzept beinhaltet nicht nur den Virenscanner als Programm an sich sondern auch ein Benutzerregel. d.H Auf ein Blatt papier wird aufgesetzt was runtergeladen werden darf was nicht, wie die Nutzer sich zu verhalten haben bei der Täglichen Internet Nutzung und was zu tun ist wenn ein Virus das System befällt. Dazu kommt hinzu wenn ich es nciht falsch verstanden hab das jeder irgendwie auf die Server zugreifen kann und das dort (vielleicht) auf den Rechner ein Virenscanner läuft. Wie schon die vorposter angemekrt haben kannst du nicht einsehn ob deren Virenscanner aktuell sind oder nciht schon bereits befallen rechner einsetzen. Sowas kannst du eben halt nur mit einer AD durchsetzen oder den Remote Administrator von Nod benutzen und dort Policies aufsetzen.

 

Zweite Frage: welche Firewall (Produkt) empfiehlst Du? Geht`s Dir nur um die VPN-Anbindung?

 

Als erstes müssten man ein Komplette IT-Strukturanalyse machen um den IST zustande bei euch zu ermitteln. Was muss geschützt werden, Wer darf was und warum. DMZ muss auf jedenfall supportet werden. Am besten noch ein Viren-Scanner an der Appliance.

 

Produkte die ich empfehlen kann: GateProtect , Astaro, Watchguard und für die gutbetuchten die auch Zeit haben, ein Diplom in der Anwednung und Konfiguration der Firewall zu erlangen - Checkpoint :)

 

Dritte Frage: wie soll ich XP Home Notebooks in eine Domäne bekommen :-)

 

Aber sowas von schnell XP Home runterzuschmeissen. Entweder Firma oder Circus. Wenn Firma dann halt XP Pro oder eben Vista Business / Enterprise. Was die Kosten angeht. Schonmal dran gedacht ein Open Value Vertrag mit Microsoft einzugehn?

 

Außerdem haben wir ca. 7 dauerhafte Nutzer, die anderen arbeiten nur hin und wieder am System.

 

Und genau da ist das Problem. Bei euch erkenne ich keine richtige Linie. Da herscht irgendwie Chaos. Keiner weiss was der andere da macht oder darf. Ich sage nicht das du daran schuld bist sondern eher die Geschäftsführung - da du aber als IT-Admin in der Firma auch in regress genommen werden kannst würde ich dir Empfehlen mal dem Chef die Augen auf zu machen.

 

Was kritisierst Du denn hauptsächlich an der Sicherheit? Die VPN-User oder die "Firewallfunktion" des FVG318 gegen "normale" Angriffe von außen? Kennst Du das Gerät überhaupt?

 

An der Sicherheit hab ich zu kritisieren das da keine grade Linie zu erkennen ist. Es gibt kein Gesamtkonzept. IT-Sicherheit ist kein ich hau da mal ne Firewall hin , nen Virenscanner und mach ein paar benutzer restirktionen. IT-Sicherheit ist ein Prozess und sogar ein sehr schwieriger. Die Firewall und der Virenscanner können nur ein Teil eines ganzem sein. (IT-Sicherheitskonzept,FirewallKonzept,AntivirenKonzept,BackupKonzept,BenutzerKonzept u.s.w) nimm dir mal das IT Grundschutzhandbuch des BSI als Beispiel. IT-Grundschutz - Startseite.

 

Was den Netgear FVG318 angeht. Für mich ist die Kiste ein Router mit Firewall funktion und keine richtige Firewall mit Router funktionen. Schau dir mal die Webseiten an der Hersteller die ich oben genannt hab da siehst du dann selbst was ich meine.

Link zu diesem Kommentar

Danke für die fotte Antwort.

 

Ich kann nicht in Regress genommen werden, ich bin Auszubildender in einem ganz anderen Fachbereich.

 

Mein Chef möchte aber kein Geld mehr ausgeben. Basta. (nicht böse gemeint!). Wir zanken uns hier ständig wegen dem 2. Server UND: immer wenn ich damit anfange, nervt es ihn und das Verhältnis zwischen ihm und mir hat sich seither ziemlich verschlechtert.

 

Virenschutz ist auf dem Server und auf den Clients, ALLE Virenscanner sind per RA verwaltet und unterliegen recht restriktiven Policys.

 

Mir geht es schon lange nicht mehr um die Clients. So lange der Chef da nur XP Home drauf haben will, komme ich nicht weiter. Mir geht es darum, den Server abzusichern. Und das kann ich erst, wenn ich einen 2. Server habe, als DC.

 

Die Appliance bekomme ich hier nie im Leben! Was hast Du gesagt? 1000 Euro? Zusätzlich? Niemals! Was spricht gegen die VPN-Verbindung, verwaltet durch den VPN-Server von MS?

Link zu diesem Kommentar
Off-Topic:
Ich kann nicht in Regress genommen werden, ich bin Auszubildender in einem ganz anderen Fachbereich.


Das heißt, Du machst Das ganze (auf Veranlassung des Chefs) quasi nebenbei, "ehrenamtlich"?

Mach die Ausbildung da zu Ende (wenn überhaupt...), und dann solltest Du am besten die Firma wechseln. Eigentlich ist die IT also auch gar nicht deine Aufgabe. Das könnte arbeitsrechtlich evtl. relevant sein, aber wir können und wollen hier keine Rechtsberatung machen.

Christoph
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...