Dienstliches Notebook in Privates Netzwerk einbinden

#1 Hallo zusammen,

habe ein Problem. Ich soll verhindern, dass sich Mitarbeiter in ihr privates Netzwerk zuhause einklinken und dann damit ins Internet gehen und Sachen runterladen. Das läuft so ab. User schließt sein Notebook zuhause an meldet sich lokal an und stellt sein IE oder Firefox um. IP kommt über DHCP. Brauche jetzt mal einen Tipp wie ich das verhindern kann. Mir ist nicht viel eingefallen. Vielleicht gibt es ja schon was fertiges was die Anmeldung überwacht und wenn lokal dann das Netzwerk herunterfährt. Danke

#2 Ja, das Problem kenne ich auch. Habe allerdings auch keine wirkliche Lösung gefunden.
Erstmal würde ich ein Verbot für sowas aussprechen. Damit hättest du es zumindest schonmal rechtlich auf der richtigen Seite.

Zur technischen Seite:
- IP fest vergeben, damit muß der User schonmal selbst eingreifen und die IP entweder an seinem Router oder am Rechner ändern. Wenn er kein Admin ist, dürfte er die IP an seinem Rechner nicht ändern können.
- desweiteren könntest du jeglichen IP- Verkehr innerhalb des Netzes auf IPSec umstellen, dort könnten aber enorme Probleme auftreten.
- Du könntest ein Einlogskript machen, welches überprüft, ob dein Netzwerk erreichbar ist, wenn nicht, dann herunterfahren. Dann kannst du dich allerdings gar nicht mehr ohne Netz anmelden.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#3 Ok, danke schon mal. Ich werd mal gucken was ich mir zusammenbasteln kann. Man müsste ja wirklich nur gucken ob er sich lokal anmeldet und dann das Netzwerk herunterfahren. Das alles als Dienst laufen lassen und fertig. Gut, manche sind lokale admins die könnten den dienst dann auch abstellen aber dann wird er halt unter anderem Namen getarnt. Verbot gibt es schon aber dem Abteilungsleiter ist das halt jetzt aufgefallen und jetzt will er eine Lösung.

#4 Tja - wer kennt das Problem nicht...

Vielleicht kannst du über Gruppenrichtlinien was ausrichten, und die lokale Anmeldung grundsätzlich verbieten. Dann müsste der Rechner jedesmal aus der Domäne genommen werden, um der Einwirkung der Gruppenrichtlinie zu entwischen - das wird schnell jedem User zu bunt, das jedesmal tun zu müssen. Am nächsten Tag im Geschäft muss er den PC ja wieder in die Domäne einklinken - nervig, zeitaufwendig, und auch für den verruchtesten User dauerhaft nicht praktikabel.

Andererseits, wiso bekommen die User transportable PCs für daheim, wenn es ihnen nicht erlaubt sein soll, ins Internet zu gehen?

Wir haben ähnliche Probleme, und sind drauf u. dran Nägel mit Köpfen zu machen. Bei einem Userstamm von 5000 Usern kannst du davon ausgehen, dass 80% nicht wissen wie man Sekurity buchstabiert (kleiner Scherz...).
Von denen kann man nix erwarten. Man muss die Technik dahingehend verbiegen, dass der User NIX FALSCH MACHEN KANN, dann hat man die Möglichkeit, Gefahren besser zu verhindern.

Ist wie immer wenns um Sicherheit ein Abwägen zw. Aufwand und Ertrag.
Wenn ich alles sicher mache (also zb. im Intranet nur 802.1X, Zugriff von extern nur über Citrix Gateways, unsichere clients kommen in ein Gäste-VLAN, keine lokalen Rechte auf den Desktops usw) dann verliert der User ne Menge an Komfort und Einfluss- das macht freilich in einem Wirtschaftsunternehmen wo eine klare Kommandostruktur und POLICY ENFORCEMENT gelebt werden durchaus Sinn. Der User soll schliesslich arbeiten, und nicht Pornos runterladen und #Quake zocken... Sitzt die Userschar dagegen am längeren Hebel, bzw ist die Administration nicht durchsetzungsfähig genug, restriktive Techniken durchzusetzen dann bringt alles nix, und man ist nur mit Schadensbegrenzung beschäftigt - doch Hand aufs Herz, wie oft passiert sowas, dass ein eingeschleppter Virus Stress macht? Bei uns vielleicht ein mal im Jahr. Dafür eine Riesenmaschinerie an Security aufzubauen um dem vorzubeugen ist nicht immer verhältnismässig....