Jump to content

Sicherheit von Windows 10 (Multiboot-Installation)


Recommended Posts

Guten Morgen,

 

mich würden eure Meinungen zu folgendem Thema interessieren. Für ein paar wenige Geräte (W10 Enterprise - Notebooks) soll die private Nutzung neben dem Home-Office erlaubt werden, wenn es denn von der Sicherheit vertreten werden kann. Da die Lizenzen aus einem MSDN-Abo kommen, die Geräte der Firma gehören und auch nur persönlich genutzt werden, sind beliebig viele Installationen erlaubt.

 

Variante 1)

Alles geschäftliche wird in einer Installation "auf dem Blech" gemacht und für die private Nutzung gibt es eine VM. Das funktioniert so lange bis der Nutzer externe Hardware anschließen will. Von der Sicherheit gibt es wenig Bedenken, wenn der User sich an die Richtlinien hält.

 

Variante 2)

Beim User wird W10 2x installiert (Multiboot). 1 x geschäftlich 1 x privat. Das hätte den Reiz, dass der User alles nutzen kann. Unter W10 kann man zwar per Bootmanager die Laufwerke nicht mehr zuverlässig verstecken, aber die geschäftliche Installation wäre sowieso per Bitlocker verschlüsselt. Aber es gibt ja die gemeinsame Bootpartition. Könnte sich darüber Malware auf die geschäftliche Installation ausbreiten? Die Wald und Wiesen Malware wohl eher nicht, meines Wissens nach.

 

Variante 3)

Die Geräte per Microsoft Intune verwalten. Kenne ich noch nicht im Detail, aber darüber sollen sich ja auch geschäftliche und private Daten trennen lassen. Die Frage ist halt, ob sich privat installierte Malware auf die geschäftlichen Dinge auswirken kann.

 

Privat soll der User alle Rechte haben können und alles machen können.

 

Vielen Dank für eure Meinungen

Link to comment

Hallo,

 

die Variante 1 wird nicht konsequent funktionieren. Wenn irgendetwas nicht funktioniert, wird der Benutzer einfach auf den geschäftlichen Bereich umschwenken und es dort tun. Damit wäre die erdachte Sicherheit ausgehebelt. Bei Variante 2 hast du eine gute Trennung zwischen dem Privaten und dem Geschäftlichen. Hier wird die gewünschte Sicherheit erreicht. Es stellen sich nun neue Haftungsfragen für Privatdaten. Wer haftet denn, wenn du durch ein Update im geschäftlichen Bereich das Private mit abschießt? Wie stellst du Dir denn die Variante 3 vor?

 

Ich verweise immer darauf, dass ein geschäftliches Gerät auch nur für den geschäftlichen Gebrauch ist. Hier ist die klare Trennung eine Win-Win Situation. Damit lassen sich viele Probleme und Fragen von beginn an vermeiden.

  • Like 2
Link to comment
Posted (edited)
vor einer Stunde schrieb NilsK:

ihr wisst, dass MSDN-Lizenzen (heute Visual Studio) nur für Test und Entwicklung genutzt werden dürfen, aber nicht produktiv?

OK, falsch im Gedächtnis abgespeichert. Müsste trotzdem OK sein, weil der geschäftliche Zweck dem entspricht und für die private Nutzung der Key aus dem Bios (W10 Pro) verwendet werden könnte.

vor 58 Minuten schrieb MurdocX:

Ich verweise immer darauf, dass ein geschäftliches Gerät auch nur für den geschäftlichen Gebrauch ist. Hier ist die klare Trennung eine Win-Win Situation. Damit lassen sich viele

Probleme und Fragen von beginn an vermeiden.

Zielkonflikt. Dem Mitarbeiter den Vorteil zu bieten sich kein eigenes Gerät anschaffen zu müssen und trotzdem alle geschäftlichen Anforderungen zu erfüllen. Aber wenn es keine zufriedenstellende Lösung gibt, ist auch das ein Weg.

  

vor 58 Minuten schrieb MurdocX:

Bei Variante 2 hast du eine gute Trennung zwischen dem Privaten und dem Geschäftlichen. Hier wird die gewünschte Sicherheit erreicht. Es stellen sich nun neue Haftungsfragen für Privatdaten. Wer haftet denn, wenn du durch ein Update im geschäftlichen Bereich das Private mit abschießt? Wie stellst du Dir denn die Variante 3 vor?

Die Idee ist eine Vereinbarung zu treffen, dass private Daten in der Verantwortung des Nutzers liegen und die Nutzung das Einverständnis darstellt im Fall der Fälle ein frisches Windows zur Verfügung gestellt zu bekommen und den Rest selber erledigen zu müssen.

 

Variante 2 ist derzeit mein Favorit. Nur bei der Ausbreitung von Malware vom privaten OS auf das geschäftliche bin ich mir nicht 100%ig sicher. Aber wenn es sich nicht gerade um eine raffinierte Malware für das UEFI handelt, doch eher unwahrscheinlich.

 

Für Variante 3 habe ich noch keine genaue Vorstellung ==> zu wenig Wissen über Microsoft Intune. Ich lese nur, dass sich damit auch auf W10 Geräten ein privater Bereich abbilden lässt. Ich hatte auf Erfahrungen gehofft :-).

vor 33 Minuten schrieb daabm:

Vielleicht wäre es sinnvoll, "private Nutzung" genauer zu definieren. Wenn ich mir so anschaue, was ich auf meinem Firmenlaptop machen kann - da fehlt mir kaum was, um den auch für private Belange zu verwenden.

Mit privat ist wirklich "ohne Einschränkung" gemeint, also: "Klick auf alles was du meinst, es ist privat und trifft die Firma nicht." Auch wenn es auf der Firmeninstallation möglich wäre, soll es per Vereinbarung unterbunden werden.

Edited by wznutzer
Link to comment
vor 42 Minuten schrieb wznutzer:

Mit privat ist wirklich "ohne Einschränkung" gemeint, also: "Klick auf alles was du meinst, es ist privat und trifft die Firma nicht." Auch wenn es auf der Firmeninstallation möglich wäre, soll es per Vereinbarung unterbunden werden.

Moin,

im Sinne dieser Definition kann die private Instanz also auch Firmware-Malware usw.  auf das Gerät bringen. Ob das "Wald und Wiesen" ist, wird dann davon abhängen, auf was für Wiesen der User sich privat tummelt.

Link to comment

Moin,

 

vor 56 Minuten schrieb wznutzer:

Müsste trotzdem OK sein, weil der geschäftliche Zweck dem entspricht und für die private Nutzung der Key aus dem Bios (W10 Pro) verwendet werden könnte.

da wäre ich mir nicht sicher. Wir sind weder Anwälte noch Lizenzberater, aber ich würde mich auf solche Argumentationen nicht verlassen. Microsoft überprüft auch kleinere Firmen, und Nachzahlungen können teuer werden.

 

Auch sonst sehe ich hier neben den Sicherheitsfragen (die ich wie die Kollegen kritischer einschätzen würde) vor allem schwierige Haftungsfragen (auf beiden Seiten), die typischerweise dazu führen, dass man von solchen Konstrukten die Finger lässt.

 

Gruß, Nils

 

  • Thanks 1
Link to comment
vor 16 Minuten schrieb cj_berlin:

im Sinne dieser Definition kann die private Instanz also auch Firmware-Malware usw.  auf das Gerät bringen. Ob das "Wald und Wiesen" ist, wird dann davon abhängen, auf was für Wiesen der User sich privat tummelt.

Wir hantieren da ja mit Wahrscheinlichkeiten. Ich bin mir der Gefahr bewusst, aber wie groß ist die Gefahr, dass das passiert? Das versuche ich herauszufinden, ob das akzeptabel ist. Klar ist natürlich, dass ich am Ende kein Konstrukt will das aufwändiger, teurer und unsicherer ist, als wenn ich jedem Kollegen einfach ein separates Notebook in die Hand drücke.

vor 20 Minuten schrieb NilsK:

da wäre ich mir nicht sicher. Wir sind weder Anwälte noch Lizenzberater, aber ich würde mich auf solche Argumentationen nicht verlassen. Microsoft überprüft auch kleinere Firmen, und Nachzahlungen können teuer werden.

Da würde ich einfach den Rat des CSP einholen, wenn das relevant wird. Wobei das schon schräg wäre, wäre das nicht erlaubt. Eine Lizenz aus dem Abo, welche komplett lt. Bedingungen genutzt wird und eine Lizenz die mit dem Gerät zusammen erworben wurde. Das entspricht ja genau dem Grundsatz, dass jede Installation eine Lizenz benötigt.

Link to comment

Hallo,

 

ich bin deiner Meinung. Zitat: "Wir hantieren da ja mit Wahrscheinlichkeiten."

Wie wahrscheinlich ist es das eine Mailware/Trojaner sich der ProofOfConepts bei GitHub bedient und wie oft macht Ihr Bios-Updates auf allen Computern/Notebooks. Das muss gegenübergestellt werden. Die Mailware schätze ich höher ein..

Link to comment
vor 8 Minuten schrieb cj_berlin:

Noch Lust, über Wahrscheinlichkeiten zu philosophieren?

Ja, z. B. ob das überhaupt stimmen kann. Weil die Anzahl der Computer im Internet auf 4,9 Mrd. geschätzt wird und somit 1/5 betroffen gewesen wäre. Ich kann ja nicht in Panik ausbrechen, sondern muss entscheiden ob das was mit Smartphones gang und gäbe ist, auch auf Windows-Rechner übertragbar ist. Wenn nicht, dann ist das auch in Ordnung, aber ich muss das schon stichhaltig mit einem realen Szenario begründen.

 

Genau um solche Meinungen zu hören suche ich ja den Austausch. Was ich selber denke weiß ich ja schon :grins2:.

 

 

Link to comment

Ein anderer Bereich, der mit Wahrscheinlichkeiten agiert, und zwar deutlich länger als es IT Security als Fach überhaupt gibt, ist das betriebliche Gesundheitsmanagement und die Berufsgenossenschaften. Von denen können wir durchaus auch etwas lernen. Frag mal die BG, was mit Deiner BU passiert, wenn Du auf einer Baustelle ohne Helm erwischt wirst, mit der Begründung, dass es sich ja nur um Tiefbau handelt und daher sehr unwahrscheinlich ist, dass von oben etwas herunterkommt. 

 

Wenn man den Usern einen Laptop schenken will, kann man das als Firma tun (Disclaimer; was es steuerrechtlich bedeutet, weiß ich nicht - vermutlich geldwerten Vorteil in voller Höhe). Die Konsequenz daraus ist aber, dass dieses Gerät niemals "Line Of Sight" zu den Backend-Systemen bekommen darf. Alle Unternehmensanwendungen müssen entweder webbasiert durch eine WAF geschützt oder auf Terminalservern durch einen entsprechenden Gateway geschützt bereitgestellt werden. Und dann gibst Du dem User einfach das Gerät inklusive lokaler Adminrechte, denn dann ist es Dir egal, was er damit anstellt.

 

Du kannst das Gerät ja auch gern in Intune managen, um zu sehen, ob es überhaupt eingeschaltet wird. Aber es ist dann in der Klassifizierung kein "company owned device" mehr, oder zumindest darfst du im Conditional Access diese Geräte anders behandeln als ein Gerät "von der Straße".

  • Haha 2
Link to comment

Das habe ich verstanden und will da auch gar nicht dagegen argumentieren. Die Idee war ja, durch das Trennen per Multiboot, beide Bereiche zufriedenstellend abzudecken. Und da scheinen die Meinungen auseinander zu gehen mit der Tendenz: Nicht so schlecht , aber wenn möglich lass es lieber.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...