Jump to content
Sign in to follow this  
mysash

Firmennotebooks Sicherheitskonzept

Recommended Posts

Hey Leute,

 

ich stehe seit längerem schon vor einem "Problem", wir setzen vermehrt Notebooks bei uns im Firmenumfeld ein und ein Großteil davon wird sowohl intern, als auch extern via UMTS -> VPN genutzt.

 

Nun ist mein Chef der Meinung, um für Sicherheit zu sorgen, das wir alle Notebooks mit 2 x Windows 7 ausstatten, quasi Dual Boot Modus, einmal für die interne Nutzung innerhalb der Domäne und extern nur einfaches UMTS und die VPN Verbindung.

 

Ich als ausführende Person sehe darin aber einige Probleme und eher Nachteile als großartige Vorteile (unsere Softwareverteilung / Patch Management ist nur auf der Domänenpartition installiert, Anti-Virus ist zwar auf beiden aber wir bekommen effektiv nur die Domänenseite erreicht / verwaltet und solche Dinge). Allerdings argumentiert der Chef damit, dass so ja ein evtl. eingefangener Virus über die VPN Partition nichts anrichten kann - ****sinn? Weil die Domänenpartition ja trotzdem vorhanden und vor allem lese/schreibbar ist von der anderen Partition und somit bringt das alles doch gar nichts mehr?

 

Jetzt wollte ich mal hören, obs da vlt. schon Ideen, Ansätze oder gar fertige Lösungen / Konzepte gibt seitens der anderen User, nen Versuch ists wert, ich lasse mich auch gern auf ne Diskussion ein!

 

Liebe Grüße

mysash

Share this post


Link to post
Share on other sites

Vor allem würde mich in erster Linie interessieren wie es mit der Lizensierung aussieht, denn dafür wird man 2 Windows Lizenzen für jedes Notebook mit 2 Installationen benötigen. Ebenso für Virenscanner und ggfs auch andere Anwendungen .....

 

Das macht die Sache meist schon recht schnell aus Kostensicht für die Entscheider uninteressant, ohne dass man alle restlichen Nachteile verargumentieren muss.

 

Zudem macht es mit einer zweiten Installation zunächst auch keinen wirklichen Sinn, zumindest wenn die zweite Installation auch auf der Festplatte als Laufwerk sichtbar ist. Dann würde ich das sogar als wesentlichen Nachteil ansehen, weil potentiell manipulierbar.

 

Was genau soll damit denn an Sicherheitsgewinn erreichbar sein?

 

Grüsse

 

Gulp

Share this post


Link to post
Share on other sites

Bei uns ist das wichtigste, dass alle Notebooks verschlüsselt werden müssen.

 

Sonst ist das wie im LAN auch. Virenscanner und Firewall sind Pflicht.

 

Evtl. kann man sich überlegen NAP einzusetzen.

Share this post


Link to post
Share on other sites

Hey Gulp,

 

im Prinzip argumentiert der Chef damit, dass man ja bei der UMTS Verbindung direkt ohne Umwege surfen kann und nicht den Firmenproxy nutzen muss.

 

So kann der User sich quasi was "einfangen" auf der VPN-Partition und die Domänenkonfiguration bleibt sauber, so denkt es der Chef, dass es allerdings im heutigen Zeitalter auch Partitionsübergreifende Viren, Trojaner was auch immer gibt...

 

Ich werd mich nochmal mit ihm zusammensetzen und mir seine Vorteile anhören... ;)

 

 

Bei uns ist das wichtigste, dass alle Notebooks verschlüsselt werden müssen.

 

Sonst ist das wie im LAN auch. Virenscanner und Firewall sind Pflicht.

 

Evtl. kann man sich überlegen NAP einzusetzen.

 

Werden Sie bei uns auch alle, meist schon seitens des Herstellers, also da wir Dell einsetzen mittels TPM Modul und Pre-Boot-Authentification...

Share this post


Link to post
Share on other sites

In groben Zügen:

 

- HD mit Bitlocker und TPM mit PIN verschlüsseln

- vernünftigen VPN-Client einsetzen. Gut Clients haben eine "friendly Network detection" oder ähnliche Mechanismen. Jedenfalls sollte man jeden guten Client so konfigurieren können, dass man nur über den VPN-Tunnel ins Internet kommt (über den Firmen-Proxy).

- LAN-Buchse und WLAN wird deaktiviert oder man nutzt auch hier eine ""friendly Network detection"".

- User hat keine Admin-Rechte.

 

Beispiel für einen Anbieter: VPN Remote Access Lösungen (VPN Clients, VPN Gateway, VPN Management) für IPsec und SSL mit zentralem Management- NCP

Share this post


Link to post
Share on other sites

Bei uns haben die User ihr Notebook mit Win7 + Standardsoftware.

Via Policies fast alles dicht gemacht, eigen Dateien auf "D" ausgelagert.

Einwahl / VPN geht über RDP auf einen Terminalserver.

Datenaustausch findet über "D" statt (welches doppelt gescannt wird).

LAN Buchse und WLAN ist i.d.R. deaktiviert.

 

gruß

slank

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...