mave28 10 Posted January 27, 2011 Report Share Posted January 27, 2011 Hallo zusammen, ich habe folgende Fragestellung: Ich habe einen Laptop mit Windows XP SP3. Dieser ist Domänenmiglied und bezieht seine IP-Adresse über unseren DHCP-Server. Ich möchte jetzt sicherstellen, dass sich dieser Client nur an unseren DHCP-Server wenden kann, um eine IP zu bekommen. Sobald er in einen Fremdnetz steckt, soll er keine IP zugewiesen bekommen. Lässt sich das über Boardmittel regeln oder gibt es dafür Extra-Software? Die Server in der Domäne laufen unter Windows Server 2008. Vielen Dank für Eure Tipps! Link to comment
NilsK 2,940 Posted January 27, 2011 Report Share Posted January 27, 2011 Moin, sowas wirst du ohne Weiteres nicht hinbekommen. Der Witz an DHCP ist ja gerade, dass es dynamisch ist. Wenn die Anforderung ernsthaft ist, könntest du dich mit IPSec befassen, damit der Client nur mit Servern spricht, die seine Verschlüsselung verstehen. Insgesamt sieht die Anforderung aber eher nach falschem Design aus. Gruß, Nils Link to comment
mave28 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Wie sollte das Design denn nach Deiner Meinung aussehen, Nils? Link to comment
NilsK 2,940 Posted January 27, 2011 Report Share Posted January 27, 2011 Moin, warum genau soll der Client nur in eurem Netz eine IP-Adresse bekommen? Gruß, Nils Link to comment
mave28 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Wir wollen verhindern, dass der Client sich trotz eines Antiviren-Programms irgendwelche unbekannten "Haustiere" einfängt. Außerdem sollen keine Dateien von oder auf den Client kopiert werden können. Gruß Michael Link to comment
NilsK 2,940 Posted January 27, 2011 Report Share Posted January 27, 2011 Moin, und wie soll die IP-Adresse dabei helfen? Was ihr benötigt, ist ein Sicherheitskonzept. Die IP-Adressierung ist keine Sicherheitsfunktion. Gruß, Nils Link to comment
Sunny61 807 Posted January 27, 2011 Report Share Posted January 27, 2011 Wir wollen verhindern, dass der Client sich trotz eines Antiviren-Programms irgendwelche unbekannten "Haustiere" einfängt. Nimm den Benutzern zuerst die Adminrechte. Außerdem sollen keine Dateien von oder auf den Client kopiert werden können. Wie willst Du das verhindern? Es gibt Mail, Internet, CDs und DVDs. Du kannst das nicht verhindern. Link to comment
mave28 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Nimm den Benutzern zuerst die Adminrechte. Keiner unserer User hat Adminrechte!! Wie willst Du das verhindern? Es gibt Mail, Internet, CDs und DVDs. Du kannst das nicht verhindern. Den Zugriff auf CD-Laufwerke kann man ja über GPO verbieten. Link to comment
Sunny61 807 Posted January 27, 2011 Report Share Posted January 27, 2011 Keiner unserer User hat Adminrechte!! Gut. ;) Den Zugriff auf CD-Laufwerke kann man ja über GPO verbieten. Und was machst Du mit den USB-Anschlüssen und den kostenlosen Diensten wie web.de, gmx.de oder anderen? Link to comment
mave28 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Gut. ;) Und was machst Du mit den USB-Anschlüssen und den kostenlosen Diensten wie web.de, gmx.de oder anderen? Die USB-Ports sind mit einer Verschlüsselungssoftware für Wechseldatenträger geschützt. Für das Internet gibt es eine Proxy-Konfig, die diese Dienste verbietet. Das Problem ist, dass der Client im Windows-Netzwerk sich ja trotzdem zu nicht Domain-Computern verbinden lässt, wenn er außerhalb eine IP vom fremden DHCP bekommt. Link to comment
carlito 10 Posted January 27, 2011 Report Share Posted January 27, 2011 Die USB-Ports sind mit einer Verschlüsselungssoftware für Wechseldatenträger geschützt. Beispiel: $Anwender steckt irgendein USB-Stick an. Was hat das mit Verschlüsselung zu tun? Oder meinst du, es können nur mit der Verschlüsselungssoftware verschlüsselte Datenträger verwendet werden? Für das Internet gibt es eine Proxy-Konfig, die diese Dienste verbietet. D.h. alle IP-Adressen aller Webmailer/Webdisk-Anbieter/Sharehoster etc sind gesperrt? Die Nutzung von SSL und Mail Verschlüsselung ist unterbunden? Deep Packet Inspection wird verwendet? Link to comment
mave28 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Beispiel: $Anwender steckt irgendein USB-Stick an. Was hat das mit Verschlüsselung zu tun? Oder meinst du, es können nur mit der Verschlüsselungssoftware verschlüsselte Datenträger verwendet werden? D.h. alle IP-Adressen aller Webmailer/Webdisk-Anbieter/Sharehoster etc sind gesperrt? Die Nutzung von SSL und Mail Verschlüsselung ist unterbunden? Deep Packet Inspection wird verwendet? Danke für den Versuch, aber ich gebe es dran. :cry: Link to comment
carlito 10 Posted January 27, 2011 Report Share Posted January 27, 2011 Danke für den Versuch, aber ich gebe es dran. :cry: Wie meinen? Link to comment
mave28 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Wie meinen? Weil nicht wolle Frage kapieren. Wenn keine IP, dann nix Internet, dann seien Email und Co nix möglich Link to comment
carlito 10 Posted January 27, 2011 Report Share Posted January 27, 2011 Wenn keine IP, dann nix Internet, dann seien Email und Co nix möglich Schon klar. Aber ist dir der mögliche Informationsabfluß bzw. -zufluß im eigenen Netz egal? Link to comment
Recommended Posts