Zum Inhalt wechseln


Foto

Sicherheit im LAN / Datenschutz, etc.


  • Bitte melde dich an um zu Antworten
32 Antworten in diesem Thema

#1 fernmelder

fernmelder

    Junior Member

  • 78 Beiträge

 

Geschrieben 10. Dezember 2009 - 13:58

Hallo liebe Gemeinde,

ich würde gerne wissen, wie ihr eure Rechner im LAN abschottet. Damit meine ich in erster Linie z.B. die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz, die das untersagt? Wir haben im Moment die Diskussion, dass die Geschäftsleitung sich darüber Gedanken macht und sie will nicht, dass Mitarbeiter von daheim USB Sticks mitnehmen und hier einstöpseln und gegebenenfalls Daten ziehen...

Den USB Port deaktivieren würde ich ja gerne, aber da hängen Maus und Tastatur dran ;-) Welche Lösungen gibt es hier?

Eine zusätzliche Frage: Wie oft müssen bei euch die Mitarbeiter das eigene Passwort ändern? Laut einem Datenschutzbeauftragten sollen wir (nur ein Vorschlag) es so einstellen, dass die Mitarbeiter einmal im Monat (!) ihr Passwort ändern müssen. Wie ist es bei euch geregelt?

Wie ist bei euch der Internetzugriff geregelt? Haben alle freien Zugriff oder surfen eure Mitarbeiter über einen Proxy (squid z.B?), der nur die Seiten in der "White-List" zulässt? Oder gibt es eine Hardware-Lösung?
Ich danke euch.

#2 s_sonnen

s_sonnen

    Board Veteran

  • 751 Beiträge

 

Geschrieben 10. Dezember 2009 - 14:18

Hi Fernmelder.

ich würde gerne wissen, wie ihr eure Rechner im LAN abschottet. Damit meine ich in erster Linie z.B. die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz, die das untersagt? Wir haben im Moment die Diskussion, dass die Geschäftsleitung sich darüber Gedanken macht und sie will nicht, dass Mitarbeiter von daheim USB Sticks mitnehmen und hier einstöpseln und gegebenenfalls Daten ziehen...


USB-Sticks gibt's nur vom Unternehmen. Keine privaten, keine Werbegeschenke und nur für den internen Datenaustausch. Dafür muß eine Verpflichtungserklärung unterschrieben werden. Inwieweit das in Zeiten von shares und eMail sinnvoll ist laß' ich mal dahingestellt ... .

Den USB Port deaktivieren würde ich ja gerne, aber da hängen Maus und Tastatur dran ;-) Welche Lösungen gibt es hier?


Da gibt's wohl ganz nette tools, einfach mal googlen oder bingen. Und außerdem hätt's ja noch den PS/2-Anschluß ... .

Eine zusätzliche Frage: Wie oft müssen bei euch die Mitarbeiter das eigene Passwort ändern? Laut einem Datenschutzbeauftragten sollen wir (nur ein Vorschlag) es so einstellen, dass die Mitarbeiter einmal im Monat (!) ihr Passwort ändern müssen. Wie ist es bei euch geregelt?


Einmal im Monat. Ausnahmen gibt's keine.

Wie ist bei euch der Internetzugriff geregelt? Haben alle freien Zugriff oder surfen eure Mitarbeiter über einen Proxy (squid z.B?), der nur die Seiten in der "White-List" zulässt? Oder gibt es eine Hardware-Lösung?


Internetzugriff gibt's nur auf Antrag beim Chef, gesurft wird dann über squid. Dafür gibt's dann auch wieder eine Verpflichtungerklärung. Allerdings brauchen auch bei weitem nicht alle MA zum arbeiten Internetzugriff.

ciao
M.
Ein Buch macht kluch - zwei Bücher schon mal klücher.

#3 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 10. Dezember 2009 - 14:38

. Damit meine ich in erster Linie z.B. die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz, die das untersagt?


Ja, dürfen sie.

Das ist ja schon seit längerem ein Built-In Feature von Windows, das USB-Sticks nicht benutzt werden dürfen. Seit Windows 7 kann man nun auch z.B. Bitlocker-To-Go erzwingen.

Eine zusätzliche Frage: Wie oft müssen bei euch die Mitarbeiter das eigene Passwort ändern?


Alle 90 Tage. 30 Tage finde ich ein bisschen extrem.

Wie ist bei euch der Internetzugriff geregelt?


Wir haben einen Forefront TMG (vorher ISA), aber der scannt nur auf Malware. Websiten sind alle freigeschaltet. Wenn die Mitarbeiter am Arbeitsplatz faulenzen, dann sperren wir nicht Youtube, sondern entlassen die faulen Mitarbeiter. Viel zielführender.

#4 fernmelder

fernmelder

    Junior Member

  • 78 Beiträge

 

Geschrieben 10. Dezember 2009 - 14:39

Hi s_sonnen,

danke für deine Antwort.

PS/2 Anschlüsse haben wir nicht mehr. USB-Sticks für Mitarbeiter gibt es nicht - wird nicht benötigt. Klar gibt es Ausnahmen, aber die kann man an einer Hand aufzählen.

Mittlerweile haben einige Mitarbeiter sogar ihre eigenen Hintergrundbilder von daheim mitgebracht. Das mag die Geschäftsleitung nicht, alles soll jetzt restriktiv behandelt werden. Auch Gruppenrichtlinien sollen eingesetzt werden, damit die User ihren Desktop nicht mehr verändern können.

#5 LukasB

LukasB

    Expert Member

  • 4.482 Beiträge

 

Geschrieben 10. Dezember 2009 - 14:43

Mittlerweile haben einige Mitarbeiter sogar ihre eigenen Hintergrundbilder von daheim mitgebracht. Das mag die Geschäftsleitung nicht, alles soll jetzt restriktiv behandelt werden.


Ich würd eurer GL mal ein neues Golfschlägerset schenken, denen ist glaub langweilig ;)

#6 s_sonnen

s_sonnen

    Board Veteran

  • 751 Beiträge

 

Geschrieben 10. Dezember 2009 - 14:51

Hi LukasB.

Wir haben einen Forefront TMG (vorher ISA), aber der scannt nur auf Malware. Websiten sind alle freigeschaltet. Wenn die Mitarbeiter am Arbeitsplatz faulenzen, dann sperren wir nicht Youtube, sondern entlassen die faulen Mitarbeiter. Viel zielführender.


Da geb' ich Dir vollkommen recht. Allerdings sind wir in D ja ein bißchen vergangenheitsbehaftet und die white list ist, zumindest aus meiner Sicht, eher ein Schutz für die Mitarbeiter. Zum Schluß kommen Hr. Sch... und Fr. v.d.L. sonst noch auf die Idee das sie auf den Fimenservern Bildchen oder "angebräunte" Inhalte finden könnten. Das wär unserer Leitung grad' gar nicht recht.

Ich würd eurer GL mal ein neues Golfschlägerset schenken, denen ist glaub langweilig


... und keine Bällchen die auf pfeifen quieken, da können sie dann länger suchen ...

ciao und 'nen angenehmen Resttag
M.
Ein Buch macht kluch - zwei Bücher schon mal klücher.

#7 Cosi

Cosi

    Senior Member

  • 339 Beiträge

 

Geschrieben 11. Dezember 2009 - 07:05

USB,CDROM,Diskettenlaufwerke werden bei uns mit Tetraguard gesperrt oder Verschlüsselt, je nach Version.
Drucker, Tastaturen oder Mäuse funktionieren weiterhin. Je nach Version kann man dem Benutzer auch wieder freischalten. Kostet allerdings auch etwas.
Konfigurierbar so um die 90€ pro Client
gelockt so um die 25€

Passwörter werden bei uns alle 40 Tage erneuert. Das würde ich aber von Firma zu Firma individuell betrachten.

Surfen dürfen die Benutzer, solange Sie keinen ******* bauen.

#8 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.226 Beiträge

 

Geschrieben 11. Dezember 2009 - 08:48

Websiten sind alle freigeschaltet. Wenn die Mitarbeiter am Arbeitsplatz faulenzen, dann sperren wir nicht Youtube, sondern entlassen die faulen Mitarbeiter. Viel zielführender.


Das ist die richtige Einstellung!
Never argue with an idíot, they drag you down to their level and beat you with experience!

#9 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 11. Dezember 2009 - 12:21

Hi,

wir haben USB Geräte für alle MA abgeschaltet. Ausnahmen gibt es nur mit einer guten Begründung und selbst dann ist auf den Maschinen ein Tool welches genau überwacht was hin und her kopiert wird.

Surfen geht nur über einen Proxy Server der zumindest den gröbsten "Schmutz" aus dem Netz raus filtert (Porno, Viren, Webmailer etc).

Da wir natürlich die Komplexitätsregeln für Passwörter eingeschaltet haben müssen diese nur alle 90 Tage geändert werden. Kürze Zeiträume führen nach meiner Erfahrung nur zu einfacheren Passwörtern. (meets the policy but not the spirit of the policy...) wie z. B. P@ssw0rd

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#10 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 13. Dezember 2009 - 10:29

Passwörter werden bei uns jetzt generell als nicht mehr ausreichend sicher eingestuft, sowohl was Netzwerkangriffe mit Wörterbüchern, Ausspähmöglichkeiten oder bewusste Weitergabe angeht.
Daher wird der ganze Konzern auf Smartcardanmeldung mit Zertifkaten umgestellt.

carnivore

#11 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 13. Dezember 2009 - 11:44

Passwörter werden bei uns jetzt generell als nicht mehr ausreichend sicher eingestuft, sowohl was Netzwerkangriffe mit Wörterbüchern, Ausspähmöglichkeiten oder bewusste Weitergabe angeht.
Daher wird der ganze Konzern auf Smartcardanmeldung mit Zertifkaten umgestellt.

carnivore


Sehr gute Entscheidung - kostet zwar ein wenig was bringt aber sehr viele Vorteile wenn man das ganze richtig implementiert...

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#12 PadawanDeluXe

PadawanDeluXe

    Board-Azubi

  • 115 Beiträge

 

Geschrieben 13. Dezember 2009 - 22:43

Ansonsten: hast du schon mal über den Einsatz einer Astaro nachgedacht?

Mehr Info's hier dann: Click me

Grüße

Carsten


Jediknights: PussyDeluxe, TheSpawn&Userle

„Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind.“ - Albert Einstein

 


#13 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 14. Dezember 2009 - 06:54

...die UBS Ports. Können die Mitarbeiter bei euch in der Firma USB Sticks oder andere Datenträger problemlos dort anschließen oder habt ihr eine spezielle Software im Einsatz,.....

Weder Unternehmensleitung noch der zuständige Fachbereich scheinen das als Problem anzusehen oder sich dessen bewusst zu sein, Resultat ist eine weitgehende Verseuchung mit Con****er A. Der Sophos erkennt den zwar beim und löscht ihn, kann aber anscheinend das Übel so nicht beseitigen. Ich habe dann erstmal die (erneute) Verbreitung gestoppt durch Deaktivieren des Serverdienstes aller Clients, weiter des Schedulers und dem Deaktivieren von Autoplay aller Laufwerke per Gruppenrichtlinie.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#14 ipzipzap

ipzipzap

    Newbie

  • 64 Beiträge

 

Geschrieben 15. Dezember 2009 - 00:26

...selbst dann ist auf den Maschinen ein Tool welches genau überwacht was hin und her kopiert wird.


Darf man erfahren, welches Tool das ist? Sowas suche ich nämlich auch noch.

TIA,
Dino
Novell CNA5, CNA6, CNE5, CNE6

#15 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 15. Dezember 2009 - 10:23

Darf man erfahren, welches Tool das ist? Sowas suche ich nämlich auch noch.

TIA,
Dino


klar - ist allerdings nicht billig... Das Ding heißt Sanctuary Device Control bzw. Sanctuary Command and Control. Hier eine Beschreibung (common criteria) http://www.commoncri..._VID4027-ST.pdf

LG

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!