Jump to content

Mobiles arbeiten (Windows Clients): WMI Filter


Recommended Posts

Hi all

 

Pilotprojekt: Ziel, fixe Arbeitsstationen durch Notebooks austauschen/ ersetzen.

Dazu haben wir nun einige Testbenutzer bestimmt, welch auch bereits als Test mit einem NB im Geschäft bzw. auch zu Hause und oder unterwegs arbeiten. Dabei habe ich z.B. folgende Situation bemerkt:

 

Verhalten der NBs im Geschäft (Anmeldung an der Domain)

Bei uns haben wir viele Dinge automatisiert, so auch das Verhalten des Windows 10 Autostarts.

Startet im Geschäft Jemand das Notebook (NB), meldet sich im Geschäft an der Domäne an, startet danach z.B. auf allen Client Systemen per Autostartmenü im Windows 10 Outlook und der Windows Explorer.

 

Verhalten der NBs unterwegs (extern)

Startet Jemand sein NB ausserhalb des Geschäftes, z.B. zu Hause am Schreibtisch, merkt das NB nicht, dass es nicht mehr mit der Domain verbunden ist und startet wie im Geschäft automatisch gemäss zwischengespeicherten GPO Einstellung, lokal das Outlook automatisch und auch den Microsoft Edge.

 

Das finde ich etwas störend, weil unsere Benutzer sollen gemäss aktuell konfigurierten Sicherheitseinstellungen mit dem NB nicht im Internet surfen können (und kann dies auch nicht), ausser vielleicht der einen oder anderen Ausnahme Webseite wie z.B. der VMware View Webseite (falls Jemand z.B. anstatt VMware View Client sich per Webbrowser im Homeoffice einloggen will) oder irgend einer Viedeokonferenz URL wie MS Teams oder so.

 

Auf Grund dessen finde ich es auch etwas störend, dass dann wie im Geschäft automatisch das Outlook gestartet wird, obwohl es ja gar keine Verbindung zum Exchange im Geschäft hat, der Webbrowser wird automatisch gestartet, obwohl ein User sowieso nicht im Internet surfen kann, dies, weil eine GPO unter anderen diese Einstellungen so vorgibt. Ich dachte mir, wenn überhaupt automatisiert irgend etwas starten soll - von unterwegs, zu Hause bzw. einfach ausserhalb des Geschäftes, dann wäre es aus meiner Sicht sinnvoller, wenn was "brauchbares" per Windows 10 Startmenü gestartet würde wie z.B. den VMware View Client.

 

Denn die Benutzerinnen und Benutzer sollen vom Homeoffice aus oder unterwegs per VMware View Client sich in das Homeoffice einwählen.

 

GPO per VMI Filter filtern

Meine Idee wäre, dass man einen WMI Filter erstellt, welcher prüft, ob der Domain Controller bzw. die Domain erreichbar ist oder nicht.

Wenn der DC NICHT erreichbar wäre, würde dann die GPO X ziehen. Diese GPO hätte dann z.B. die Einstellung konfiguriert, lösche die Icons (Verknüpfungen) Outlook und Microsoft Edge aus dem Pfad %appdata%\Microsoft\Windows\Start Menu\Programs\Startup und kopiert stattdessen die Verknüpfung des VMware VIEW Clients in diesen Pfad und oder man belässt die Sache mit dem automatischen starten des VMware View Clients.

 

Noch kurz eine Ergänzung von mir. Die Sache mit dem VMI Filter würde ich darum sinnvoll und cool finden weil, es A wohl die einfachste Lösung wäre, und B zum Verwalten von uns Admins am einfachsten wäre.

Man würde sofort in der Gruppenrichtlinienverwaltung sehen, dass die GPO X nun mit einem WMI Filter verknüpft ist und hätte von daher eine übersichtliche Lösung - so finde ich dies zumindest.

 

cheers

Andrew

Link to post

Moin,

 

wenn der Domain Controller nicht erreichbar ist, wird auch kein neuer RSoP gebildet (wie auch?) und somit auch keine WMI-Filter angewandt.

 

Du musst Dir vielleicht mit einem Scheduled Task behelfen, der prüft, ob der DC erreichbar ist oder nicht und, falls nicht, die gewünschten Anpassungen selbst vornimmt.

Link to post

Hi,

 

die einfachste Lösung wäre aus meiner Sicht, sowohl im Büro wie auch im Home Office in der View-Umgebung zu arbeiten. Ein anderer Ansatz wäre es, den Autostart evtl. über ein Script zu steuern und dort die Logik "Home Office oder Büro" zu behandeln. Eine weitere Alternative könnten die GPP (Registry, Tasks, Umgebungsvariablen in Verbindung mit Item Level Targeting) in einem GPO sein. 

 

Gruß

Jan

Link to post

Naja vielleicht ist diese Art der „verhätschelung“ ja auch nicht unbedingt angebracht. Ich würde es hassen, wenn jemand entscheidet, dass Outlook und der Explorer startet. Das kann ich als Erwachsener schon selbst entscheiden.

aber vielleicht brauchen auch die Admins was zu tun, damit man sie nützlich findet ;)

  • Thanks 1
  • Haha 2
Link to post

NorbertFe,

Kann deine Argumentation total nachvollziehen. Diese Einstellung ist auch nicht von mir so in dieser internen IT-Infrastruktur wo ich betreuen darf, konfiguriert worden.

 

Ich erwähne dies nur, weil ich mich nicht "schuldig" fühle, sondern weil ich pers. wenn ich die IT auf grüner Wiese neu einrichten würde, dies auch nicht konfiguriert hätte :-)

Link to post

Moin,

 

abgesehen davon ... wer verbietet denn heute noch den Internetzugriff? Das ist so Neunziger, da könnte man ja auch übergroße bunte Sakkos anziehen.

 

Aber ernsthaft: Statt antike Vorgaben zu machen, die auf einem ebenso antiken Sicherheitsverständnis beruhen, wäre es sinnvoller, eine zeitgemäße Umgebung aufzubauen, die den Anwendern eine Umgebung gibt, mit der sie sinnvoll arbeiten können und die heutigen Sicherheitsansätzen entspricht.

 

Gruß, Nils

 

  • Like 1
  • Haha 1
Link to post

Ciao Nils

 

Danke für deine Anregung in Bezug: "Wenn man auf einem NB lokal nicht surfen darf, sondern nur den VMware View Client benutzen, um eine Verbindung auf die Homeoffice machen zu dürfen", dass ein solches Sicherheitsverständnis antik sei, sprich, stark veraltet.

 

Ich finde es immer spannend, wenn man einen Beitrag eröffnet, aber schlussendlich über ganz andere Dinge diskutiert :-)

Ein kurzer Abstecher ist erlaubt, aber dann bitte wieder zum eigentlichen Problem, danke Dir Nils.

 

Die Anstellung (Position) in der Firma

Wie erwähnt: Trotzdem möchte ich kurz dazu Stellung nehmen, lieber Nils: Ich weiss nicht, was Du in deinem Job für eine konkrete Position inne hast. Ob du sogar auch in einer leitenden Position bist, wo du nicht immer nur brav ja und amen sagen musst, sondern auch dein technisches Know-How durchsetzen kannst?

 

In meiner Position als Systemspezialist kann ich zwar in unserem kleinen Team (weniger als 5 Leute) in der internen Informatik in jeder Hinsicht meine Meinung äussern, Vorschläge bringen, Aber: Ich kann meinem Vorgesetzen, sprich IT-Leiter z.B. nicht sagen, dieses Vorgehen ist altmodisch usw. oder NICHT benutzerfreundlich, meiner Meinung nach müssen wir die Sache so oder so lösen - Ende der Diskussion, wird nun so umgesetzt, Punkt.

 

Also ich könnte schon, die Frage wäre dann, wie käme das heraus :-)

Im schlimmsten Fall würde dann mein Vorgesetzter einfach sagen, ich will das so, jenes möchte ich so aus diesem und jenem Grund, bitte mach mal!

 

Als Angestellter ist man immer am kürzeren Hebel *lach*. Ich habe es in dieser Firma hier zumindest noch nie darauf ankommen lassen und versucht, meine Ansicht derart mit Nachdruck versucht, durchzusetzen, das selbst der IT-Leiter von seiner Schiene abweicht?

 

Ich kann nur für mich sprechen und Dir folgende Situation aufzeigen: Ich habe einigermassen ein gutes Sicherheitsverständnis und kenne viele Gefahren/ kenne Vorgehen von Hackern und kenne die Problematik in IT-Infrastrukturen, wenn es um das Thema Sicherheit geht. An dem fehlt es aus meiner Sicht nicht.

 

Wir haben in der Firma ein hohes Sicherheitsbewusstsein. Die User in der Firma werden aktiv auch geschult, sprich, Sie müssen bestimmte Online Kurse erledigen (Basic Wissen in Bezug Sicherheit, Phising usw, und sofort), andere wiederum sind vielleicht freiwillig.

 

Wir haben eine UTM mit integriertem Webfilter. Je nach je, in welcher Active Directory Gruppe ein User ist, kann er mehr oder weniger URLs im Internet ansteuern (wenn er im Geschäft vor Ort via Geschäfts PC surft oder wenn er via VMware Home Office Umgebung surft).

 

Jemand wo z.B. in der GL sitzt darf sicher mehr Seiten aufmachen, als ein normaler 0815 User.

 

So, hier regelt firmenintern in Bezug im Internet surfen, die FW übernimmt hier also die Arbeit und filtert entsprechend!

Habe ich nun mobile User, welche ein NB haben und gemäss IT-Leiter nur den VMware VIEW Client benutzen sollen, ist das einfach Mal eine Voraussetzung, nicht mehr, nicht weniger.

 

Wenn das oder die Notebooks nun extern unterwegs sind und KEINE Verbindung zum Geschäft besteht, ist somit die ganze Webfilterung der Firma aussen vor, bist du bis hier her mit mir einverstanden Nils?

Auf Grund dieser Situation finde ich es auch notwendig, lokal auf den Notebooks demnach ein gewisses Sicherheitslevel zu fahren.

 

Ich meine, was bringt es, wenn man in der Firma einen hohen Sicherheitsstandard fährt und dann die Benutzerinnen und Benutzern mit Ihren Notebooks, wenn Sie extern sind, quasi dem Schicksal überlässt und Ihnen einfach freien Lauf lässt, was das Surfverhalten auf dem lokalen Notebook angeht?

 

Macht aus meiner Sicht wirklich Null Sinn!

Aus meiner Sicht muss man auch da Webfilter einsetzen, für das wurden die Webfilter ja extra entwickelt, nicht wahr? Man kann sich natürlich schon Fragen, wie fest schränkt man die User ein, da gehe ich mit Dir einig, lieber Nils.

 

Nun möchte ich gerne von Dir Nils erfahren, wie denn ein topmodernes Sicherheitsbewusstsein aussieht, auf mein geschildertes Szenario hier.

Zur Erinnerung: Auf den Notebooks wird das neuste oder zweitneuste Windows 10 installiert bzw. ist auf manchen Test Notebooks bereits installiert worden und die Test Benutzerinnen und Benutzer sind bereits damit am Testen.

 

Ziel: Ablösung der Mini PCs im Geschäft durch Notebooks, dass schlussendlich jede und jeder anstatt einen Mini Computer auf dem Arbeitstisch, halt neu einen Notebook mit Dockingstation hat.

 

 

Dann zum eigentlichen Problem dieses Beitrags hier: Ach, Du fragst Dich, um welches Problem es hier eigentlich geht, in diesem Beitrag hier?

Lies den Beitrag, welchen ich hier eröffnet habe, was der Grund dazu war (vielleicht musst Du am Anfang des Beitrags anfangen, ich weiss es nicht), dass ich mir die Zeit genommen habe, um hier einen Beitrag zu eröffnen.

Da darfst Du Nils sehr gerne auch noch gutgemeinte Lösungsvorschläge bringen, danke auch Dir für die konstruktive Unterstützung *smile*.

Link to post

Moin,

 

eine mögliche Lösung wurde Dir bereits von @testperson präsentiert. Für das Client-Management gibt es aus Security-Sicht nur zwei valide Ansätze:

 

  1. Classic Management: Der Client ist drin. Er ist Mitglied im AD und hat direkten Netzwerkzugriff auf Anwendungen und Ressourcen. Anwendungen sind lokal installiert. Zugriff auf externe Ressourcen ist geregelt durch Firewall, Webfilter, Proxy etc. Wenn der Client sich außerhalb des Netzes befindet, regelt die lokale Firewall auf dem Client den Zugriff so, dass die einzige Adresse, die direkt erreicht werden kann, die des VPN-Konzentrators ist. Der gesamte Traffic geht durch den VPN-Tunnel.
  2. Der Client ist draußen. Er ist nicht Mitglied im AD und ist mit Modern Management gemanaged (WorkspaceONE, Intune, whatever). Die Arbeit wird auf Terminalservern / VDI verrichtet, der Zugriff auf diese mit einem Reverse Proxy (UAG, Netscaler, RDG, ...) abgesichert. Auch das Client-Netz im Firmengebäude ist als "untrusted" eingestuft. Keine Anwendungen auf dem Client, zumindest keine, die Daten verarbeiten.

Alle Mischformen zwischen diesen beiden Extremen sind Augenwischerei und Selbstbetrug. Und wenn man sich für das Szenario 2 entscheidet, kann man den Internetzugriff des Clients in einem vernünftigen Maße durchaus zulassen.

  • Like 2
Link to post

Moin,

 

oha, da hab ich dir mit meiner flapsigen Anmerkung wohl auf den Fuß getreten. Das war nicht die Absicht. Entschuldige.

 

vor 10 Stunden schrieb andrew:

Ich finde es immer spannend, wenn man einen Beitrag eröffnet, aber schlussendlich über ganz andere Dinge diskutiert

Das allerdings halte ich für einen der großen Vorzüge einer Community - oder sogar für deren eigentlichen Sinn. Sicher, nicht jede Diskussion trägt direkt zur Lösung bei. Und manchmal schweift man ab. Aber es hat seinen Grund, warum wir in Diskussionen oft weitergehende Fragen stellen, den Hintergrund beleuchten oder den Zusammenhang kritisch betrachten wollen: Allzu oft hat ein Fragesteller nur die Details seines Problems vor Augen und ist darin gefangen. Er sucht dann Lösungen für diese Details, auch wenn diese das eigentliche Problem gar nicht lösen.

 

Ein vollständiges Sicherheitskonzept kann dir in einem Forum niemand bieten. Der Hinweis, dass das Vorgehen, nach dem du ursprünglich gefragt hast, heute nicht mehr zielführend ist (in den Neunzigern hat man oft so gedacht und konnte das auch tun, weil die Sicherheitslage eine ganz andere war), ist aus meiner Sicht aber sinnvoll. Und grundlegende andere Hinweise hast du ja bekommen.

 

Darum ging es. Und, zugegeben, den Spruch mit dem Sakko wollte ich einfach anbringen. ;-)

 

Gruß, Nils

 

Link to post
vor 2 Minuten schrieb NilsK:

Allzu oft hat ein Fragesteller nur die Details seines Problems vor Augen und ist darin gefangen. Er sucht dann Lösungen für diese Details, auch wenn diese das eigentliche Problem gar nicht lösen.

Das finde ich extrem wichtig. Viele Fragende, seien es Mitglieder hier im Forum oder Kunden im Berufsleben, sind auf eine bestimmte Lösung fixiert. Das mag in anderen Bereichen auch so sein, aber in der IT dünkt es mich am auffälligsten. Die guten Forum-Experten und IT-Dienstleister erkennt man daran, dass sie einen Schritt zurück machen und die Frage nach dem Ziel stellen. Häufig ist die Lösung für das eigentliche Problem nicht das, wonach gefragt wurde. (Wobei aber auch klar ist, dass es gewisse Sachzwänge gibt und nicht jeder Mitarbeiter wöchentlich neue Konzepte vorschlagen kann.)

Link to post

Moin,

 

schau an, danke für den Hinweis.

 

Wobei sich der Wikipedia-Artikel redliche Mühe gibt, das Thema möglichst umständlich zu erklären ... 

 

Gruß, Nils

 

  • Haha 1
Link to post

Verstehe eure Grundhaltung in Bezug: "nicht immer gleich direkt das Problem XY ansprechen", sondern auch zuerst Mal einen Schritt zurück machen und oder andere Blickwinkel einbringen.

Arbeite ja selber schon seit Millennium in der IT (damals natürlich erst im 1st Level Support) *lach*

 

Nils, easy. Habe deinen Wink verstanden und ja, Du hast mich richtig gespürt. Die Argumentationen in Bezug, dass das Vorgehen den 90ern entspricht etc. verstehe ich gut.

Aber eben, wenn man in eine Firma eintritt und eine IT-Infrastruktur vorfindet, entspricht diese vielleicht nie immer "seinem Wunschdenken". Die Gründe sind oft vielfältig und vielleicht nicht mal immer absichtlich so konfiguriert worden.

 

 

vor 18 Stunden schrieb cj_berlin:

Moin,

 

eine mögliche Lösung wurde Dir bereits von @testperson präsentiert. Für das Client-Management gibt es aus Security-Sicht nur zwei valide Ansätze:

 

  1. Classic Management: Der Client ist drin. Er ist Mitglied im AD und hat direkten Netzwerkzugriff auf Anwendungen und Ressourcen. Anwendungen sind lokal installiert. Zugriff auf externe Ressourcen ist geregelt durch Firewall, Webfilter, Proxy etc. Wenn der Client sich außerhalb des Netzes befindet, regelt die lokale Firewall auf dem Client den Zugriff so, dass die einzige Adresse, die direkt erreicht werden kann, die des VPN-Konzentrators ist. Der gesamte Traffic geht durch den VPN-Tunnel.
  2. Der Client ist draußen. Er ist nicht Mitglied im AD und ist mit Modern Management gemanaged (WorkspaceONE, Intune, whatever). Die Arbeit wird auf Terminalservern / VDI verrichtet, der Zugriff auf diese mit einem Reverse Proxy (UAG, Netscaler, RDG, ...) abgesichert. Auch das Client-Netz im Firmengebäude ist als "untrusted" eingestuft. Keine Anwendungen auf dem Client, zumindest keine, die Daten verarbeiten.

Alle Mischformen zwischen diesen beiden Extremen sind Augenwischerei und Selbstbetrug. Und wenn man sich für das Szenario 2 entscheidet, kann man den Internetzugriff des Clients in einem vernünftigen Maße durchaus zulassen.

 

Mir sind diese beiden Versionen bekannt bzw. weiss ich zumindest, wie Variante 2 im Ansatz funktioniert bzw. was dessen Grundidee dahinter ist. Variante 1 habe ich früher vor vielen Jahren selber bei Kunden so eingesetzt und übrigens als Alternative Lösung meinem Vorgesetzen vorgeschlagen :-)

 

Wir besitzen ja intern selber eine interne VDI Umgebung auf VMware basierend. 

Nun, wo das Thema "mobiles arbeiten" aufkommt und das Thema ist da, wie erwähnt, alle Desktop Computer durch Notebooks zu ersetzen, habe ich bis jetzt nur bedingt Einfluss nehmen können, in welche Richtung sich die ganze Sache entwickeln sollte/ müsste/ könnte.

 

Und wenn man einen IT-Leiter hat, welcher gerne immer gleich selber alles in die Hand nehmen will, seine Ideen im Kopf umsetzen möchte und aktiv seit Bekanntmachung, dass das Projekt "mobiles Arbeiten" ansteht, mit Konfigurieren, aufsetzen von Windows 10 Notebooks mit dem neusten Image beginnt usw. und sofort, anstatt auf seine Leute im Team aktiv losgeht und sagt: "hey Jungs, das Projekt "mobiles arbeiten" steht an, bitte macht euch schlau, was heute state of the art ist und präsentiert mir die Vor und Nachteile, wenn dies eben NICHT geschieht, nur weil er immer denkt, er könne und oder müsse immer alles selber aufgleisen, ja, dann endet man eben da, wo wir nun sind.

 

Kurz vor dem eigentlichen Termin, langsam aber sicher mit dem Rollout anzufangen, die Testbenutzer Kreise ausweiten usw. und sofort.

Jedoch könnte ich ja und mein Arbeitskolleg Ihn versuchen, zu überzeugen, egal, ob der eigentliche, geplante Rollout bald vor der Türe steht und sagen: Übung halt, entweder setzen wir die Lösung 1. oder 2. wie cj_berlin erwähnt hat, um, oder wir haben so irgendwie eine "Zwitterlösung", welche nicht zu 100% zufriedenstellen ist.

 

Was auf Dauer wohl in Bezug Benutzer Akzeptanz Schwierigkeiten geben könnte.

Wenn der Benutzer nicht zufrieden ist, frage ich mich schon, ob es nicht besser wäre, eine angefangene Idee vielleicht doch lieber noch jetzt nochmals neu zu überdenken und oder komplett eine andere Schiene zu fahren, als eben, so weiter zu machen?!

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...