Jump to content
Sign in to follow this  
kuero

Benutzer/Daten Netzwerk Policy

Recommended Posts

Ein Kunde hat die überlegung sein Netzwerk vor internen Datenmissbrauch zu schützen.

(Datendiebstahl)

 

Es ist ein einfach Strukturiertes Netz aus einem Netzlaufwerk wodran mehrere Clients angebunden sind.

 

Prinzipiel hat jeder Client Zugriff auf alle Daten, außer auf die der Geschäftleitung.

(Das ist auch so gewünscht und soll auch weiterhin so bleiben.)

 

Hier nochmal kurz zur besseren Verständigung ein Bild.

 

Netzwerk.jpg

 

Der Rote Kreis spiegelt, meinen Vorschlage wieder.

Alle Client werden soweit abgesichert das keine Daten über CD/DVD, USB, Externen Festplatten oder ähnliches z.B. Booten vom CD/DVD Laufwerk vom Mitarbeiter kopiert werden können. (Vorteil des ganzen ist das weiterhion alle Mitarbeiter Zugriff auf alle Daten haben, aber nichts auf externe Medien kopiert werden können)

 

Der Kunde möchte aber das die Benutzerbezogene Sicherheit bereits auf dem Server geschiet (Blauer Kreis).

 

Jetzt stellt sich für mich die Frage, wie soll ein System , wo grundsätzlich der Zugriff auf alle Daten vorhanden sein soll denn Abgesichert werden ??? Das ist doch PARADOX.

 

Wie denkt ihr darüber, welche Argunmente Sprechen für das eine oder gegen das andere.

 

Derzeit werden die benötigten Daten zum Arbeiten vom Netzlaufwerk auf den Client Rechner kopiert, bearbeitet und wieder zurück auf Netzlaufwerk geschoben.

Share this post


Link to post

Hy

 

ich würde an deiner Stelle folgendes machen, Auf den Clients darf auf C nichts mehr gespeichert werden, also Rechte anpassen und Profil beschränken Desktop 10 oder 20 MB.

Vorteil; Kein Datenverlust oder klau

Keine lokalen Admins

 

Auf dem Server selbst kann man nur mit Berechtigungen arbeiten, was schwer fällt wenn alle bis auf einen Ordner reinkucken dürfen bzw. du könntest gewisse Gruppen auf nur Lesen beschränken sprich eine Berechtigungsstruktur aufbauen

 

Clientseitig kannst du wie gesagt viele Sachen (USB etc sperren)

 

Gruß

 

CoolAce

Share this post


Link to post

@CoolAce: Das ist zwar ein sehr guter Ansatz nur leider ist es doch im grunde egal, ob ich 20 MB oder 20 GB zum Arbeiten habe.

 

Entwerder schaufelt ich Daten Stückweise oder im ganzen, wenn ich einen Weg heraus gefunden habe.

 

Es läuft anscheint irgendwie darauf hinaus das Daten Grundsätzlich sich nur auf dem Server befinden und diese auch nur von dort aus geöffnet als auch gespeichert werden dürfen.

Auf den Client Rechnern befindet sich dan nur noch die Software um die Daten zu öffen um mit dehnen arbeiten zu können.

 

Wie hört sich diese Methode an ?

 

@Der-Sensenmann

FTP zu schließen ist easy, aber rapidshare und etc. könnte komplizierter werden.

 

Wie werden die Daten bei den Fileshare Portalen überhaupt hochgeladen, muss dazu die eigen vom Anbieter erstellt Software genutzt werden oder wie kann diese Lücke am besten geschlossen werden ?

 

Vielen Dank für eure Ideen schonmal im vorraus.

Share this post


Link to post

Auf den Client Rechnern befindet sich dan nur noch die Software um die Daten zu öffen um mit dehnen arbeiten zu können. (genau das meinte ich)

 

Imho gibts immer eine Möglichkeit mit Daten abzuhauen man kann es nur erschweren. Du könntest natürlich im extremsten Fall alle Clients auf Thinclients umstellen und Sie nur noch am TS arbeiten lassen.

Share this post


Link to post

Welche Perfomance muss denn ein TS haben um mit ca. 15 Client darauf arbeiten zu können ??

 

Ich schätze dann müssen auch GIGABIT Switche zum Einsatz kommen, die Kabel wären dafür vorhanden.

 

Wie sieht es aus mit System die auch Mobile im Einsatz sind, kenne mich in der TS System nicht bestens aus. (Mail Verfügbarkeit usw. Synchronisation etc.)

 

So langsam nicht das alles Maße an die mir Angst machen ;)

Share this post


Link to post

Es kommst drauf an was alles läuft. So ca. 8GB Ram und ein netter Prozi.

Dafür können die Clients nichts besonderes sein.

Vorteil; Es werden nur Bildinformationen übertragen die sind ned so groß

 

Mobile Clients können Sich da auch via Remote Desktop drauf verbinden nachdem sie ein VPN Verbindung haben. Mails liegen nicht auf dem TS sondern auf dem Exchance.

Share this post


Link to post

Die TS Lösung finde ich sehr interessant, aber diese ist sicher auch Lizenztechnisch die Teuerste.

 

Wie sieht es überhaupt mit Software der Verfügbarkeit aus, ist z.B. Adobe, Firefox in der Lage gleichzeitig von 20 clients auf einem TS genutzt zu werden ?

 

Von MS Office SBS weiß ich das es Server Office Versionen gibt.

 

Oder ist es da nicht besser die Software direkt auf den Clients zu Installieren, den Schreibzugriff auf die Festplatten zu Sperren sodass alle Daten nur direkt auf dem Server Laufwerk geöffnet/gespeichert werden können ?

Share this post


Link to post

Von der Installation her gesehen kannst du alles auch auf dem TS laufen lassen,

Lizenzfrage ist richtig, du brauchst auch entsprechend Lizenzen dafür.

 

Installationstechnisch kommt es drauf an , du kannst entweder reine Thin Clients verwenden die nur die Remotedesktop verbindung zum TS machen mehr nicht, oder

 

Die Programme auf der WS installieren, aber Profil und Rest servergespeichert oder Profil lokal und Ordnerumleitung für Eigene Dateien, Desktop und Anwendungsdaten.

 

Gruß

 

CoolAce

Share this post


Link to post

Welcher Weg hat sich den in der Praxis bewährt, ich habe noch keine Erfahrungen, würde gerne zumindest den Richtigen weg einschlagen .

 

Die meiste Software ist auf Fat Clients programmiert, da eine breite Pallete an Software zur Verfügung stehen muss ist sicherlich mit Problemen bei einen Think Client System zu rechnen.

 

Deine Erfahrungen könnten sicher ein große Hilfe sein, bevor ich verusche ein Fahrad mit viereckigen Felgen ins Rollen zu bekommen ;) (Soll nicht heißen das ich dich ständig versuchen werde Probleme hier zu lösen ohne selbst es versucht zu haben)

Share this post


Link to post

Kein Thema ,helf gern denn auch mir wird hier geholfen :D

 

Wenn die von der Programmierung FAT brauchen dann macht es mehr Sinn die Programme an sich auf dem client laufen zu lassen da ich FAT auf dem Server als sehr sicherheitsbedenklich halte .

 

Am besten über GPO die Ordnerumleitung anschalten oder Servergespeicherte Profile machen. Das HowTo gibts unter Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Restliche Daten einfach auf dem Server, vorteil bei der Geschichte du kannst auch mit RIS arbeiten , wenn etwas ned richtig funzt einfach neu betanken und kein Problem ob der User sonstwo noch Daten hat.

 

Nachteil: Da du lokal FAT verwendest kannst aber keine Rechte machen das User nichts speichern dürfen lokal, erfordert NTFS

Share this post


Link to post

wir haben uns falsch verstanden ;)

 

Mit Fat Clients meinte ich nicht FAT Partitionen sondern, das die meiste Software FAT Clients Programmiert ist ( Programmiert um auf Client Rechner zu laufen und nicht TS mit TC).

 

Gefunden habe ich diesen Ausdruck bei Thin Client - Wikipedia

 

dort wird es folgendermaßen erläutert :

Die meisten Windows-Anwendungen werden für Fat Clients programmiert. Daher muss bei einer Thin-Client Architektur mit Problemen gerechnet werden.

 

Sorry das habe ich mich wohl die falsche Formulierung gewählt.

Share this post


Link to post

Ok, dann hab ich das falsch verstanden

 

Wenn das nicht funzt dann entfällt die TS varriante, aber du kannst ja Trotzdem die Sache mit RIS ;ordnerumleitung und Restritktion bei der lokalen Datenspeicherung

Share this post


Link to post

Die Seiten mit den Gruppenrichtlinien scheint sehr interesant zu sein, ich habe bereits themen gefunden die ich einarbeiten werde, vielen Dank für den Tip.

 

Ich denke es läuft alles auf das loggen von Zugriffen aus und ein paar geschütze Bereiche für die Geschäftsleitung und Mitarbeiter.

 

Somit kommt Struktur in die Sache, dazu noch die Client Absicherung.

Mal sehen was die Verantworlichen dazu sagen.

 

Ich danke dir Herzlich für deine Unetrstützung. Falls du mal ein paar Fragen zum Fussball haben solltest, kann ich dir sicher helfen ;)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...