fis5 10 Geschrieben 1. Mai 2009 Melden Teilen Geschrieben 1. Mai 2009 Hallo Forum und einen schönen Feiertag wünsche ich, ich bin trotzdem ein bisschen am Arbeiten und brauche hilfe von experten. Es geht um folgendes: Wir haben einen Exchange Server und einen Terminalserver. Von dem Exchange Server haben wir schon OWA nach "außen" hin geöffnet. Als SSL Zertifikat haben wir das, von Exchange mitinstallierte Zertifikat, beibehalten. Das will aber mein Chef nicht mehr, er war in den USA in einem Internetcafe und konnte nicht auf seine EMails, via OWA, weil er in den Cafe unser eigendes SSL Zertifikat nicht akzeptieren konnte. Ebenso will unser Chef das er auf den Terminalserver draufschalten kann. Meine Idee ist das wir uns ein SSL Zertifikat für OWA und Terminalserver (TS-WebAccess eventeull TS Gateway) zulegen. Damit müsste es doch möglich sein von jedem PC aus eine sichere Verbindung zu unseren Server herzustellen? Das ganze würde dann über einen ISA Server sich abspielen. Nur habe ich mit Zertifikaten noch so garkeine erfahrungen. Welches Zertifikat brauche ich? Ist sowas schwer einzurichten? Was kostet das? Fragen über Fragen aber ich denke Hier kann mir mit Sicherheit einer helfen. Gruß Frank Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 1. Mai 2009 Melden Teilen Geschrieben 1. Mai 2009 Ich wäre grundsätzlich immer sehr vorsichtig, Benutzernamen und Kennwörter aus meinem Firmennetzwerk, bzw. von meinem Mailpostfach in einem Internetcafe einzugeben. Das Zertifikat schützt dich nicht vor evtl. Keyloggern. Das würde ich bedenken. Vielleicht wäre OMA (also das dein Chef die Mails über sein Handy abruft) eine Alternative für dich, bzw. deinen Chef und für den TS-Zugang ein eigenes kleines Netbook!? Zitieren Link zu diesem Kommentar
fis5 10 Geschrieben 1. Mai 2009 Autor Melden Teilen Geschrieben 1. Mai 2009 Hallo, also das mein Chef ein Notebook hat ist klar, damit habe ich auch keine Probleme mit selbst erstellen Zertifikaten. Aber mann kennt ja die Chefs alles muss schnell gehen und da vergisst man schonmal das Notebook. Die gefahren mit den Leyloggen usw. habe ich versucht zu verdeutlichen aber er ist der Chef und wenn er es so haben will bitte ich habe es schriftlich vom Chef das ich es so umsetzen soll. Auch planen wir mehr Heimarbeit für meine Kollegen darum werde ich um eine Sichere Terminalserver verschlüsselung nicht drumherumkommen. Hast du erfahrung mit Zertifikaten? Gruß Franke Zitieren Link zu diesem Kommentar
andreaskossatz 10 Geschrieben 1. Mai 2009 Melden Teilen Geschrieben 1. Mai 2009 HI, also ich kann mir nicht vorstellen, dass es Deinem Chef nicht möglich war, sich am OWA anzumelden weil er das Zertifkat nicht installieren durft. Denn das Zertifikat wird im Context des lokal angemeldeten Benutzers installiert und zumindest innerhab dieses Contextes hat er alle Zugriffsrechte solche Zertifikate zu installieren. Eher kann ich mir vorstellen, dass es Probleme mit dem Browser z.b. Firefox oder IE 8 oder ähnliches gab. Du solltest alles tun um zu verhindern, dass ohne Zertifikate gearbeitet wird. Dann wegen Deiner sicherern Terminalserver Lösung. Dafür benötigst Du eine interne Zertifikatshirachie über welche dann Zertifikate ausgestellt werden. Du musst diese dann auf die Computer und Laptops verteilen und entsprechend die Zertifikate konfiguriren. Ich hatte schon in meiner Testumgebung einige Probleme das System überhaupt ordentlich ans laufen zu bringen. Du solltest es vorher auf jedenfall testen. Generell löse ich solche Wünsche immer über eine VPN Verbindung mit der die User dann ins Firmennetz einwählen und über die so sicher aufgebaute VErbindung können die dann auch normale Terminalsitzungen aufmachen. Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 1. Mai 2009 Melden Teilen Geschrieben 1. Mai 2009 Heimarbeit (könntest du per VPN lösen) unterscheidet sich natürlich schon von Internetcafes. Die PCs für die Heimarbeitsplätze kommen idealerweise aus dem Unternehmen und wurden zuvor entsprechend durch euch (also EDV-Abteilung) präpariert. Aber back to Topic... Leider schreibst du nur wenig über deine Umgebung, vielleicht könntest du das noch ein bisschen ausführen. In jedem Fall solltest du mal bei Nils' Homepage vorbeigucken, z.B. hier: faq-o-matic.net Terminalserver-Sessions durch Zertifikate schützen Zitieren Link zu diesem Kommentar
fis5 10 Geschrieben 1. Mai 2009 Autor Melden Teilen Geschrieben 1. Mai 2009 Hallo, die Idee mit VPN hatte ich auch. Leider geht Microsoft immer mehr dazu über, so habe ich das aus den letzten Webcast und Techday verstanden, mehr mit SSL Zertifikate zu machen. Stichwort RCP over Https. Leider kann ich auch keine eigende Zertifikates hirachie machen da die Mitarbeiten teilweise auch ihre eigende Rechner benutzen. Mein Chef hat es so formuliert. "Die sollen, egal an welchen Rechner und ohne das da was eingerichtet werden muss, sich in die Firma einwählen können" Also frei nach dem Motto gebt im Internet Explorer https://ts.firma.de ein und meldet euch an und Arbeitet. Die das ganze zu laufen hat und wie man das sicher umsetzten kann ist wieder meine aufgabe und wie ich sehe auch mein Problem. Gruß Frank Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 1. Mai 2009 Melden Teilen Geschrieben 1. Mai 2009 Also das schließt sich meiner Meinung nach aus: egal an welchen Rechner und ohne das da was eingerichtet werden muss und wie man das sicher umsetzten kann Aber vielleicht haben die Spezies hier im Board ja einen Ansatz für dich! ;) Zitieren Link zu diesem Kommentar
fis5 10 Geschrieben 1. Mai 2009 Autor Melden Teilen Geschrieben 1. Mai 2009 Auf diese Ansetzte will ich ja hinaus :) Darum war mein ansatz ein SSL Zertifikat zu bestellen welches schon auf jeden Windows Rechner in "Vertraute Stammzertifikate" enthalten ist z.B. Verisign. Ein andere aspekt der gegen VPN steht ist das in vielen Hotels der VPN Port gesperrt ist der SSL port aber nicht. Gruß Frank Zitieren Link zu diesem Kommentar
andreaskossatz 10 Geschrieben 1. Mai 2009 Melden Teilen Geschrieben 1. Mai 2009 ich war 10 jahre als Administrator in der Hotelerie. Und es ist im allgemeinen so , dass heutzutage die Ports für IPSEC und VPN geöffnet sind, da die Firmen- und Geschäftskunden ausschliesslich über verschlüsselte gesicherte Verbindungen mit ihren FIrmen kommunizieren und auch remot dort arbeiten. Ein Hotel dass solche VErbindungen nicht zulässt ist heutzutage am Markt nicht konkurenzfähig. Und mit Vista und w2k8 gibt es ein neues Protokoll von MS: SSTP The Cable Guy: IPv6-Datenverkehr über VPN-Verbindungen Damit liesse sich im Falle eines Falles das Problem mit nicht geöffneten Ports auch umschiffen. Eine derartige Installation ist mit Sicherheit keine kleine Wochendaktion. Auch wenn Du das Zertikikat von Verisign kaufst, was ziehmlich teuer ist, dann musst Du noch immer die lokale Infrastrktur dafür schaffen. Es stellt sich die Frage ob sich der ganze Aufwand und die Kosten lohnen. Und wenn Du das für ein grösseres Unternehmen machen musst, so könntest Du das auch über eine SonicWall - Lösung in der DMZ regeln, in der dann dedizerte TS laufen welche dann über eine Firewall die entsprechendenden Ports nach intern öffnen etc... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.