Jump to content

Außendienst-Notebook in Domäne Best-practice


Recommended Posts

Hallo,

wie geht ihr mit Notebooks um, die einerseits von Mitarbeitern im Außendienst verwendet werden, andererseits aber auch in der Domäne (im internen Netzwerk) Verwendung finden?

 

Die Mitarbeiter können auch von zu Hause aus (via VPN) auf das interne Netzwerk zugreifen. Sie melden sich hier mit den Cached Credentials der Domäne an (mit einem Standaruser ohne Adminrechte). --> Vermutlich ist hier ein lokaler User einzurichten und dieser für das Arbeiten außerhalb des Domänennetzwerk jedenfalls vorzuziehen?

 

Momentan lösen wir das (schematisch) so:

Mitarbeiter (daheim oder unterwegs) -> SSL VPN -> Terminalserver (internes Netzwerk)

 

Dennoch schließt dies nicht aus, dass Mitarbeiter X das Notebook @home im Wlan hat und dort dann in der Gegend rumsurft. Angenommen er würde sich etwas "einfangen" und würde das Notebook dann wieder an die Domäne hängen, wäre dies ggf. ein großes Problem.

 

Welche Möglichkeiten gibt es, diese Situation zu verbessern?

  • Ich denke da an einen VPN Zwang. Sprich also, wenn der MA mit dem Gerät surfen will, geht das nur, wenn er zuvor die VPN Verbindung aufgebaut hat.
  • Er surft dann über die VPN Verbindung und die Firewall in der Firma. Gibt es eine solche Möglichkeit und ist das sinnvoll?
  • Weiters wäre eine Device Management Software sicher nicht schlecht, die die Geräte auch dann "überwacht" wenn sie nicht direkt mit dem Netzwerk verbunden sind. (z.b. in Form einer Software, die die Geräte auch dann monitored wenn sie eben nicht über die VPN Verbindung im Internet aktiv sind). Anm.: Wenn man eine VPN Verbindung erzwingen kann, ist dies dann zumindest in dieser Form hinfällig.

 

Freue mich auf eure Expertise.

 

Danke!

 

 

Edited by mcdaniels
Link to post

Moin,

 

"von - bis". Ein lokaler User statt eines Domänenusers löst jedenfalls kein einziges Problem, schafft dafür aber viele neue. Warum würdest du das erwägen?

 

Ein Notebook ist ein Mobilrechner, der ist ja dafür da, dass man ihn an verschiedenen Stellen betreibt, also auch in verschiedenen Netzwerken. "Einfangen" kann man sich beim "Rumsurfen" überall was. Moderne Malware kann im gesicherten Firmen-LAN genauso zuschlagen wie im Heim-WLAN. Die Risiken unterscheiden sich heute nicht mehr wesentlich. Wichtig ist, dass die wichtigen Assets eben auch gut geschützt sind. Da bin ich aber nicht der erste, der darauf hinweist.

 

Ein "VPN-Zwang" wird das Risiko typischerweise nicht verringern, sondern erhöhen. Über ein VPN ist der Client an das Unternehmensnetzwerk angeschlossen, als wäre er direkt in der Firma. Hätte er sich also "was eingefangen", dann wäre es direkt im Firmennetz. "VPN" ist keine Sicherheitsmaßnahme, sondern nur ein Werkzeug für ganz bestimmte, eingegrenzte Szenarien.

 

Um jetzt nicht ganz ohne Vorschlag dazustehen: Manche Firmen nutzen Notebooks im Home Office nur als "dumme Terminals", die Anwender greifen also per RDP/Citrix/... auf die Applikationen zu, die im Unternehmen laufen. Das ist schon vom Grundprinzip her i.d.R. deutlich "sicherer" als ein direkter Durchgriff.

 

In dieser Allgemeinheit hat das jetzt das Potenzial, ein ausufernder Mega-Thread zu werden, der nichts Neues enthält. Wie wäre es, wenn du dich erst mal allgemein informierst und dann mit konkreten Fragen kommst?

 

Gruß, Nils

 

  • Like 1
Link to post

Hallo Nils,

grundsätzlich ist es ja bei uns schon so, dass wir via VPN -> RDP (auf einem Terminalserver) arbeiten. (mit den Mobilgeräten und auch was das Homeoffice betrifft). Das hatte ich aber im Startthread erwähnt.

 

vor 34 Minuten schrieb NilsK:

Ein "VPN-Zwang" wird das Risiko typischerweise nicht verringern, sondern erhöhen.

Mein Gedankengang war der, dass ich so die Kontrolle darüber habe, was der User zb ansurft & Malwarescan & Contentfilter ... (da der Datentransfer dann über die Firmenappliance läuft und eben nicht "einfach mal so" direkt über einen WLAN Router der daheim steht (ohne diverse Scans und Kontrollen).

 

vor 34 Minuten schrieb NilsK:

Moderne Malware kann im gesicherten Firmen-LAN genauso zuschlagen wie im Heim-WLAN.

Natürlich. Jedoch differenziere ich hier eben ein wenig, da ich im Firmen LAN wenigstens einige Ausstattung habe, die man eben zu Hause nicht hat. Ausstattung, die beim Surfen schonmal einiges "wegfischt". @home hab ich das nicht, wenn ich "quasi direkt" im Internet bin.

 

vor 34 Minuten schrieb NilsK:

Wie wäre es, wenn du dich erst mal allgemein informierst und dann mit konkreten Fragen kommst?

Ist die Variante: Home-Office-Endgerät -> VPN -> RDP (Terminalserver) also quasi als Standard zu sehen?

Was meinst du mit "Notebooks als dummes Teminal" ?  So eingeschränkt, dass man quasi nichts darauf machen darf bis auf die VPN/RDP Lösung?

 

vor 34 Minuten schrieb NilsK:

"von - bis". Ein lokaler User statt eines Domänenusers löst jedenfalls kein einziges Problem, schafft dafür aber viele neue. Warum würdest du das erwägen?

Wenn ich keinen direkten Zugriff habe, muss ich mich auf dem mobilen Endgerät (bei Zugriff auf die Firma) an sich nicht mit dem Domänenkonto anmelden (man arbeitet ja via VPN & dann RDP). Ich dachte an eine Trennung: Wenn unterwegs lokaler User / VPN / RDP (eigenes Profil) / wenn im LAN (Domänenkonto).

 

Danke!

Edited by mcdaniels
Link to post

Moin,

 

auch im Bereich der IT-Security solltest du die Anforderungen definieren, bevor du Maßnahmen evaluierst oder umsetzt. Vieles von dem, was du anführst, kann man durchaus machen (abgesehen von dem lokalen User). Kommt halt drauf an, warum man das macht und wie es in ein Gesamtkonzept eingebunden ist.

 

Dass man zuhause "direkt im Internet sei", ist in aller Regel schon lang nicht mehr so. Auch Heimrouter haben einen okayen Firewallschutz, dazu kommt das, was Windows mitbringt. Wir sind nicht mehr im Jahr 2000. Und gegen moderne Bedrohungen für Clients hilft eine Unternehmensfirewall oft auch nicht viel, weil sowas eben heute völlig anders funktioniert.

 

Am Ende eine Sache der Abwägung - man kann Maßnahmen aus meiner Sicht nicht bewerten, ohne das Szenario zu kennen.

 

Gruß, Nils

 

  • Like 1
Link to post
vor 1 Minute schrieb NilsK:

Dass man zuhause "direkt im Internet sei", ist in aller Regel schon lang nicht mehr so. Auch Heimrouter haben einen okayen Firewallschutz, dazu kommt das, was Windows mitbringt. Wir sind nicht mehr im Jahr 2000. Und gegen moderne Bedrohungen für Clients hilft eine Unternehmensfirewall oft auch nicht viel, weil sowas eben heute völlig anders funktioniert.

Ja, ich weiß. Ich meinte ohne zb. eine Firewallappliance wie eine Fortigate. Eine moderne Unternehmensfirewall kann aber zb Verbindungen  zu Botnets blockieren, oder aber einen SSL Scan durchführen. (Hier können wir dann darüber diskutieren, wie legitim ein derartiger Scan ist).

 

vor 7 Minuten schrieb NilsK:

Am Ende eine Sache der Abwägung - man kann Maßnahmen aus meiner Sicht nicht bewerten, ohne das Szenario zu kennen.

Wir fangen gerade erst damit an, das wirklich zu forcieren und ich wollte eure generelle Meinung dazu hören (lesen).

Link to post

Damit Du nicht nur eine (zugegebenermaßen sehr professionelle) Meinung hörst (bestimmt kommen auch noch weitere) ... hier noch ein oder zwei "Denkanstöße" von mir:

 

vor 50 Minuten schrieb mcdaniels:

Ist die Variante: Home-Office-Endgerät -> VPN -> RDP (Terminalserver) also quasi als Standard zu sehen?

Dazu ein eindeutiges Jein!! ;-)  So etwas wie einen "Standard" gibt es nicht. Die Lösungen und Strategien sind so vielfältig wie das Leben selbst. Das hängt entscheidend von den Anforderungen und Voraussetzungen ab.

 

vor 25 Minuten schrieb mcdaniels:

Ja, ich weiß. Ich meinte ohne zb. eine Firewallappliance wie eine Fortigate. Eine moderne Unternehmensfirewall kann aber zb Verbindungen  zu Botnets blockieren, oder aber einen SSL Scan durchführen. (Hier können wir dann darüber diskutieren, wie legitim ein derartiger Scan ist).

Wenn das Haupteinfallstor für Schädlinge z.B. der Mail-Client ist, kann Dir die teuerste und beste Firewall auch nicht mehr helfen. Dann kommt die Bedrohung quasi von Innen.

 

vor 25 Minuten schrieb mcdaniels:

Wir fangen gerade erst damit an, das wirklich zu forcieren und

Zu viele Einschränkungen können auch das Gegenteil bewirken, weil Anwender Wege finden, einengende und stark hinderliche Regeln zu umgehen.

 

vor 25 Minuten schrieb mcdaniels:

ich wollte eure generelle Meinung dazu hören (lesen).

Wenn Du 3 Leute nach deren Meinung fragst, solltest Du Dich darauf vorbereiten mindestens 5 Meinungen zu hören. ;-)  :rofl: :aetsch2:

  • Like 1
Link to post
vor 15 Minuten schrieb BOfH_666:

Wenn das Haupteinfallstor für Schädlinge z.B. der Mail-Client ist, kann Dir die teuerste und beste Firewall auch nicht mehr helfen. Dann kommt die Bedrohung quasi von Innen.

Stimmt. Hier kann ich aber ggf. zumindest mit einem SMTP(S) Scan entgegenhalten ;-) Fischt mir bislang 99% der "bösen" Mails weg.

Edited by mcdaniels
Link to post
vor 4 Minuten schrieb mcdaniels:

Stimmt. Hier kann ich aber ggf. zumindest mit einem SMTP(S) Scan entgegenhalten ;-) Fischt mir bislang 99% der "bösen" Mails weg.

Das Problem sind ja leider nicht die 99% .... sondern das eine Prozent, welches eben nicht weggefischt wird!!  ;-)   .... deshalb sollte es im Idealfall eine Strategie geben, die eben auch den Ernstfall mit abdeckt. Also Backup und Recovery sind  mindestens genauso wichtig wie der Bedrohungsschutz an sich.

  • Like 1
Link to post
vor 2 Minuten schrieb BOfH_666:

Also Backup und Recovery sind  mindestens genauso wichtig wie der Bedrohungsschutz an sich.

ich fotografier jeden Tag die Inhalte jeder Word- und Exceldatei ;-);-)

Edited by mcdaniels
Link to post
vor 25 Minuten schrieb mcdaniels:

ich fotografier jeden Tag die Inhalte jeder Word- und Exceldatei ;-);-)

Dann musst Du aber davon auch noch Kopien machen, die Du außer Haus schaffst ... wenn schon, denn schon!!   :aetsch2:

  • Haha 1
Link to post

Wie schon oft hier geschrieben . . . Security ist keine Sammlung individueller Maßnahmen sondern die Umsetzung eines strategischen Konzepts. Das basiert u.a. auf euren Anforderungen und der Analyse des Ausgangszustandes.

 

Wenn Du beschreibst wie der Ausgangszustand ist und wie eure Anforderungen sind kommen hier eher sinnvolle Vorschläge (wobei ein Forum im Gesamtkonstrukt nur einzelne Fragen beantworten kann).

  • Thanks 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...