Win7 - Firmennotebooks Sicherheitskonzept

[mysash]

Hey Leute,

ich stehe seit längerem schon vor einem "Problem", wir setzen vermehrt Notebooks bei uns im Firmenumfeld ein und ein Großteil davon wird sowohl intern, als auch extern via UMTS -> VPN genutzt.

Nun ist mein Chef der Meinung, um für Sicherheit zu sorgen, das wir alle Notebooks mit 2 x Windows 7 ausstatten, quasi Dual Boot Modus, einmal für die interne Nutzung innerhalb der Domäne und extern nur einfaches UMTS und die VPN Verbindung.

Ich als ausführende Person sehe darin aber einige Probleme und eher Nachteile als großartige Vorteile (unsere Softwareverteilung / Patch Management ist nur auf der Domänenpartition installiert, Anti-Virus ist zwar auf beiden aber wir bekommen effektiv nur die Domänenseite erreicht / verwaltet und solche Dinge). Allerdings argumentiert der Chef damit, dass so ja ein evtl. eingefangener Virus über die VPN Partition nichts anrichten kann - ****sinn? Weil die Domänenpartition ja trotzdem vorhanden und vor allem lese/schreibbar ist von der anderen Partition und somit bringt das alles doch gar nichts mehr?

Jetzt wollte ich mal hören, obs da vlt. schon Ideen, Ansätze oder gar fertige Lösungen / Konzepte gibt seitens der anderen User, nen Versuch ists wert, ich lasse mich auch gern auf ne Diskussion ein!

Liebe Grüße
mysash

[Gulp]

Vor allem würde mich in erster Linie interessieren wie es mit der Lizensierung aussieht, denn dafür wird man 2 Windows Lizenzen für jedes Notebook mit 2 Installationen benötigen. Ebenso für Virenscanner und ggfs auch andere Anwendungen .....

Das macht die Sache meist schon recht schnell aus Kostensicht für die Entscheider uninteressant, ohne dass man alle restlichen Nachteile verargumentieren muss.

Zudem macht es mit einer zweiten Installation zunächst auch keinen wirklichen Sinn, zumindest wenn die zweite Installation auch auf der Festplatte als Laufwerk sichtbar ist. Dann würde ich das sogar als wesentlichen Nachteil ansehen, weil potentiell manipulierbar.

Was genau soll damit denn an Sicherheitsgewinn erreichbar sein?

Grüsse

Gulp

[Dukel]

Bei uns ist das wichtigste, dass alle Notebooks verschlüsselt werden müssen.

Sonst ist das wie im LAN auch. Virenscanner und Firewall sind Pflicht.

Evtl. kann man sich überlegen NAP einzusetzen.

[mysash]

Hey Gulp,

im Prinzip argumentiert der Chef damit, dass man ja bei der UMTS Verbindung direkt ohne Umwege surfen kann und nicht den Firmenproxy nutzen muss.

So kann der User sich quasi was "einfangen" auf der VPN-Partition und die Domänenkonfiguration bleibt sauber, so denkt es der Chef, dass es allerdings im heutigen Zeitalter auch Partitionsübergreifende Viren, Trojaner was auch immer gibt...

Ich werd mich nochmal mit ihm zusammensetzen und mir seine Vorteile anhören...

Zitat von Dukel Bei uns ist das wichtigste, dass alle Notebooks verschlüsselt werden müssen. Sonst ist das wie im LAN auch. Virenscanner und Firewall sind Pflicht. Evtl. kann man sich überlegen NAP einzusetzen.

Werden Sie bei uns auch alle, meist schon seitens des Herstellers, also da wir Dell einsetzen mittels TPM Modul und Pre-Boot-Authentification...

[zahni]

In groben Zügen:

- HD mit Bitlocker und TPM mit PIN verschlüsseln
- vernünftigen VPN-Client einsetzen. Gut Clients haben eine "friendly Network detection" oder ähnliche Mechanismen. Jedenfalls sollte man jeden guten Client so konfigurieren können, dass man nur über den VPN-Tunnel ins Internet kommt (über den Firmen-Proxy).
- LAN-Buchse und WLAN wird deaktiviert oder man nutzt auch hier eine ""friendly Network detection"".
- User hat keine Admin-Rechte.

Beispiel für einen Anbieter: VPN Remote Access Lösungen (VPN Clients, VPN Gateway, VPN Management) für IPsec und SSL mit zentralem Management- NCP

[slank]

Bei uns haben die User ihr Notebook mit Win7 + Standardsoftware.
Via Policies fast alles dicht gemacht, eigen Dateien auf "D" ausgelagert.
Einwahl / VPN geht über RDP auf einen Terminalserver.
Datenaustausch findet über "D" statt (welches doppelt gescannt wird).
LAN Buchse und WLAN ist i.d.R. deaktiviert.

gruß
slank