Ich soll ein kleines Firmennetzwerk einrichten und suche eine möglichst einfache aber sichere Lösung. Ausgangssituation sind 5 Rechner, die mit LAN, WLAN und dLAN vernetzt sind. Server oder Domänencontroller gibt es nicht, seit kurzem aber einen DLINK DNS323 Server. Jeder Rechner ist mit einem Bios Passwort geschützt. Es existiert nur ein Windowsbenutzerkonto, dass sich alle Anwender teilen. Unter Windows ist keine Authentifizierung notwendig, das Konto wird automatisch angemeldet.
Nun meine Anforderungen:
1.) Es gibt zwei Arten von Daten, sensible und weniger sensible. Beide sollen auf dem NAS abgelegt werden. An die sensiblen Daten darf nur ein kleiner Mitarbeiterkreis zugreifen.
2.) Die Firma hat nur einen Mail Account und verwendet pop3 Abruf mit MS Outlook. Alle Mitarbeiter haben Zugriff auf das Postfach.
Meine Überlegungen:
zu 1.) 2 Windows Benutzerkonten zur Authentifizierung am NAS. Die automatische Abmeldung durch den Bildschirmschoner soll unauthorisierte Anwender von den sensiblen Daten fern halten.
zu 2.) Outlook läuft nur auf einen Windows Konto. Alle Benutzer arbeiten mit diesem Konto. Zum Zugriff auf die sensiblen Daten ist eine Anmeldung mit dem anderen Windows Konto notwendig, hier gibt es aber keine email.
Etwas unglücklich bin ich mit dem zusätzlichen Windows Benutzerkonto, da dieses bei den Anwendern auf wenig Gegenliebe stossen wird. Allerdings sehe ich keinen anderen Weg, um den Zugriff auf die sensiblen Daten zu beschränken.
Mein Ziel ist eine Hürde zu schaffen, die den Laien von den sensiblen Daten fernhält aber die authorisierten Laien nicht ausschliesst.
Habt ihr Kritik oder Anregungen zu meinem Vorschlag? Ich bin für jeden Tipp dankbar.
Gruß Markus
Hallo
Ich soll ein kleines Firmennetzwerk einrichten und suche eine
möglichst einfache aber sichere Lösung. Ausgangssituation sind
5 Rechner, die mit LAN, WLAN und dLAN vernetzt sind. Server
oder Domänencontroller gibt es nicht, seit kurzem aber einen
DLINK DNS323 Server. Jeder Rechner ist mit einem Bios Passwort
geschützt. Es existiert nur ein Windowsbenutzerkonto, dass
sich alle Anwender teilen. Unter Windows ist keine
Authentifizierung notwendig, das Konto wird automatisch
angemeldet.
gute Voraussetzungen. Jeder Depp kann sich also einloggen, das BIOS-Passwort ist für einen aufgeweckten 8-jährigen kein Hindernis.
Nun meine Anforderungen:
1.) Es gibt zwei Arten von Daten, sensible und weniger
sensible. Beide sollen auf dem NAS abgelegt werden. An die
sensiblen Daten darf nur ein kleiner Mitarbeiterkreis
zugreifen.
in einem Netz hat jeder Mitarbeiter sein eigenes Konto, die Zugriffsberechtigungen werden über den Server geregelt. afaik hat dein Server ein Linux an Bord, mit dem die Berechtigungen einstellen kann.
2.) Die Firma hat nur einen Mail Account und verwendet pop3
Abruf mit MS Outlook. Alle Mitarbeiter haben Zugriff auf das
Postfach.
o Gott ^^
Meine Überlegungen:
zu 1.) 2 Windows Benutzerkonten zur Authentifizierung am NAS.
Die automatische Abmeldung durch den Bildschirmschoner soll
unauthorisierte Anwender von den sensiblen Daten fern halten.
eine automatische Ameldung über Screensaver gibt es nicht. Das ist nur eine Sperre, leicht auszuhebeln
zu 2.) Outlook läuft nur auf einen Windows Konto. Alle
Benutzer arbeiten mit diesem Konto. Zum Zugriff auf die
sensiblen Daten ist eine Anmeldung mit dem anderen Windows
Konto notwendig, hier gibt es aber keine email.
warum nicht ein Outlook-Konto bei einem der Mitglieder machen und für die andern freigeben?
Etwas unglücklich bin ich mit dem zusätzlichen Windows
Benutzerkonto, da dieses bei den Anwendern auf wenig
Gegenliebe stossen wird.
Tja, die Frage ist: willst du im Sandkasten spielen und dein System offen wie ein Scheunentor lassen oder willst du Sicherheit?
Dass Mitarbeiter aus Bequemlichkeit nicht gerne Konten und Passwörter haben, ist klar. Ebenso klar ist, dass sie sich innerhalb weniger Tage an die neue Situation gewöhnen. Ist nur eine Frage, wie du ihnen verkaufst, ob die Unbequemlichkeit nicht durch die erhöhte Sicherheit mehr als aufgewogen wird. Wobei du dann eh immer noch weit entfernt von einem sicheren System bist. Das lässt sich imho nur mit einem Domänen-Server realisieren.
lg
Seni
zu 2.) Outlook läuft nur auf einen Windows Konto. Alle
Benutzer arbeiten mit diesem Konto. Zum Zugriff auf die
sensiblen Daten ist eine Anmeldung mit dem anderen Windows
Konto notwendig, hier gibt es aber keine email.
warum nicht ein Outlook-Konto bei einem der Mitglieder machen
und für die andern freigeben?
Geht so etwas? Ich bin bei den .pst Dateien bislang an die Grenze gestossen. Outlook legt sie Homeverzeichnis ab, was sich ja noch ändern liesse. Da beim Abmelden aber nicht alle Programme geschlossen sein müssen, bliebe auch die .pst Datei gesperrt. Sprich ein anderer Anwender meldet sich an, kann aber nicht auf die geöffnete pst-Datei zugreifen. Wie kann ich das anders machen?
Dass Mitarbeiter aus Bequemlichkeit nicht gerne Konten und
Passwörter haben, ist klar. Ebenso klar ist, dass sie sich
innerhalb weniger Tage an die neue Situation gewöhnen. Ist nur
eine Frage, wie du ihnen verkaufst, ob die Unbequemlichkeit
nicht durch die erhöhte Sicherheit mehr als aufgewogen wird.
Wobei du dann eh immer noch weit entfernt von einem sicheren
System bist. Das lässt sich imho nur mit einem Domänen-Server
realisieren.
Von personalisierten Accounts habe ich mich bereits verabschiedet. Einige Anwender sind nur an wenigen Tagen im Haus, dann gibt es ständig wechselne Praktikanten und Hilfskräfte. Ständig neue Konten zu erstellen und auf alle Rechner zu verteilen ist viel zu mühsam. Ausserdem gibt es im Unternehmen keinen IT Spezialisten. Ich selnst habe mit der Firma nichts zu tun und springe als Helfer ein. Das System soll ohne mich möglichst reibunsglos laufen, auf keinen Fall möchte ich mir eine Daueraufgabe ans Bein binden.
Ich denke rollenbasierte Benutzerkonten wie „Chef“ und „Mitarbeiter“ oder „Praktikant“ sind zweckdienlich und erfordern keinen Domänencontroller. Mein Anspruch ist die Umgebung sicherer, aber nicht perfekt, zu machen.
Wenn du da noch Tipps hast, wie mit dem Outlook, bin ich dafür dankbar. Gibt es eine Alternative zu Benutzerkonten um den Zugriff auf den NAS einzuschränken? Gibt es freie Werkzeuge und Tools, die bei der Verwaltung eines so „pragmatischen“ Netzes hilfreich sein können? Gibt es gar andere Ansätze um mit den gegebenen Mitteln die genannten Anforderungen zu erfüllen?
Gruß Markus
Hallo
warum nicht ein Outlook-Konto bei einem der Mitglieder machen
und für die andern freigeben?
Geht so etwas? Ich bin bei den .pst Dateien bislang an die
Grenze gestossen. Outlook legt sie Homeverzeichnis ab, was
sich ja noch ändern liesse. Da beim Abmelden aber nicht alle
Programme geschlossen sein müssen, bliebe auch die .pst Datei
gesperrt. Sprich ein anderer Anwender meldet sich an, kann
aber nicht auf die geöffnete pst-Datei zugreifen. Wie kann ich
das anders machen?
öhm, ich bin es gewohnt in einer DOmäne mit Exchange-Server zu arbeiten, und da kann man problemlos seine eigne E-Mails (und/oder Kontakte/Kalender) für andere Mitglieder freischalten. Wenn ich mich nicht irre, geht das genauso in einem Heimnetzwerk. Aber das wäre eher eine Frage fürs Outlook-Brett.
Von personalisierten Accounts habe ich mich bereits
verabschiedet. Einige Anwender sind nur an wenigen Tagen im
Haus, dann gibt es ständig wechselne Praktikanten und
Hilfskräfte. Ständig neue Konten zu erstellen und auf alle
Rechner zu verteilen ist viel zu mühsam.
Ich denke rollenbasierte Benutzerkonten wie „Chef“ und
„Mitarbeiter“ oder „Praktikant“ sind zweckdienlich und
erfordern keinen Domänencontroller. Mein Anspruch ist die
Umgebung sicherer, aber nicht perfekt, zu machen.
Ob du die Benutzerkonten jetzt Chef oder Herr Schmit nennst, ist ja wurscht. Tatsache ist, dass Berechtigungen, egal in welcher Form, nun mal über die Benutzerkonten zu steuern sind.
Wenn du da noch Tipps hast, wie mit dem Outlook, bin ich dafür
dankbar. Gibt es eine Alternative zu Benutzerkonten um den
Zugriff auf den NAS einzuschränken? Gibt es freie Werkzeuge
und Tools, die bei der Verwaltung eines so „pragmatischen“
Netzes hilfreich sein können?
IN welcher Hinsicht? Mir fällt für die sensiblen Daten nur als Alternative eine Verschlüsselung mit Passwort ein, die aber in der Praxis weit umständlicher zu handhaben ist, als wenn sich der User mit seinem Benutzerkonto anmeldet.
Mit der gegebenen Hardware lässt sich nicht leicht ein sicheres Netzwerk hinbiegen. Vllt sollte man doch die 2000 € in einen kleinen Server installieren, mit dem alle Probleme ziemlich mühelos gelöst werden könnten. Der Server selbst könnte ferngewartet werden.
Nebenbei: gibt es eigentlich ein Backupsystem?
lg
Seni
Gibt es eine Alternative zu Benutzerkonten um den
Zugriff auf den NAS einzuschränken? Gibt es freie Werkzeuge
und Tools, die bei der Verwaltung eines so „pragmatischen“
Netzes hilfreich sein können?
IN welcher Hinsicht?
Ein als Share verknüpftes Netzlaufwerk, welches beim Zugriff ein Passwort abfragt. Nach meinen Erfahrungen gibt es so etwas wie eine Share-Freigabe die eine Passwort Authorisierung verlangt. Leider merkt sich Windows das Passwort bis zum Logout, so dass andere Anwender dann ohne PW zugreifen können. Eine zeitabhängige PW Abfrage, etwa 5 Minuten nach Inaktivität habe ich nicht finden können.
Mir fällt für die sensiblen Daten nur als
Alternative eine Verschlüsselung mit Passwort ein, die aber in
der Praxis weit umständlicher zu handhaben ist, als wenn sich
der User mit seinem Benutzerkonto anmeldet.
Ja, solche Werkzeuge arbeiten dann auf einer grossen Image Datei. Ist zum sichern nicht so einfach und bei einem Plattenausfall ist möglicherweise alles weg. Im normalen Dateisystem hat man zumindest noch die Chance einzelne Dateien zu retten.
Mit der gegebenen Hardware lässt sich nicht leicht ein
sicheres Netzwerk hinbiegen. Vllt sollte man doch die 2000 €
in einen kleinen Server installieren, mit dem alle Probleme
ziemlich mühelos gelöst werden könnten. Der Server selbst
könnte ferngewartet werden.
Mit dem NAS Server habe ich überzeugen können. Platz für einen weiteren Rechner (Server) gibt es eigentlich nicht. Und auch nicht die Bereitschaft für eine solche Investition. Erfahrunsggemäß ist man auf Lizenzen von MS angewiesen, und da wird es richtig teuer. Aber selbst ich als „Profi“ kenne mich da nicht gut genug aus und kann deshalb keine Empfehlung aussprechen.
Nebenbei: gibt es eigentlich ein Backupsystem?
Ja, es gehört zu meinen Aufgaben ein solches zu etablieren. Mehrstufig mit NAS, externer Platte und DVD RAM. Das Konzept steht.
Mit dem Outlook (siehe 1.)) und den riesigen .pst Dateien bin ich hier auf ein Problem gestossen. Wenn die Daten nicht mehr auf eine DVD passen, wirds aufwendig. Aber das kriege ich in den Griff.
Gruß Markus