Moin,
Zitat:
Zitat von urmel88
Und das siehst du allen Ernstes als einen ordentlichen Sicherheitsersatz in einer Firma an?
|
Nein natürlich nicht. Es geht hier auch nicht primär um Sicherheit. Es geht darum, das man einigen Rechnern den Zugriff auf dass Internet verwehrt. Und DAFÜR ist diese Lösung in Ordnung. Wenn die anderen Bedingungen (Virenscanner u.a. )stimmen. Ein Ersatz für Firewall u.a. ist es nicht. Aber das war ja auch nicht gefragt. Abgesehen davon. Im Moment haben alle Rechner den Gateway Eintrag. Wie soll sich die Sicherheitslage (bei sonst gleichen Bedingungen) verschlechtern wenn man den Gateway Eintrag bei einigen Rechnern entfernt? Die Sache mit den Virenscanner- und den evtl nötigen Firewallupdates (interne Verteilung) bleibt natürlich.
Zitat:
Zitat von urmel88
Oder willst du das alles händisch mit eingeschränkten Benutzerrechten machen?
|
Wieso noch machen? In einem vernünftig eingerichteten Netzwerk HABEN die Benutzer keine lokalen Admin Rechte. Und wenn man das nicht über den DC abklären kann weil es z.B. keinen gibt dann macht man das eben bei der Installation der AP´s von Hand. Auch ein fauler nachlässiger Admin ist ein Risiko. Wer aus Benutzern lokale Admins macht weil er es dann bequemer hat wenn mal was zu installieren ist naja ...
Wo kämen wir denn da hin wenn jeder sich Software downloaden oder von Zuhause mitbringen und installieren kann oder die Systemeinstellungen ändert wie er will. Damit fängt der Ärger doch meistens an. Welcher Admin kennt nicht "Ich hab mir ein Tool aus dem Internet runtergeladen und aufgespielt um meinen Rechner aufzuräumen weil er so langsam war." "Ich wollte die IP Einstellungen ändern damit mein Internet so schnell ist wie zuhause"
Bei mir bekommen die Benutzer gerade eben so viel Rechte wie sie zur Erfüllung ihrer Aufgaben benötigen. Und wenn das z.B. bedeutet das ich USB Anschlüsse deaktiviere und Kartenslots abklemmen muss, dann mach ich das. Und es gibt nur zwei Leute die die Systemeinstellungen ändern können. Der Administrator und der liebe Gott. Und der auch nur unter Aufsicht des Admin! Ja ich weiss es gibt Tools mit denen man trotz eingeschränkter Rechte ... Dazu nur eines. Ich hab schon Abmahnungen mit Kündigungsdrohung gesehen wegen mitgebrachter Datenträger ...
Das grösste Sicherheitsrisiko ist immer noch der Benutzer. Am Spieltrieb, am Halbwissen und an Unachtsamkeit sind schon mehr Netzwerke eingegangen als man glauben mag.