[GPO] Nur im Intranetz ans Netz

word.exe · 15. Juli 2024

Moin Moin,

ich verzweifle an einer relativ simplen Lösung und wollte euch um Rat bitten.

In unserer Firma geben wir unseren Lehrgangsteilnehmern/Dozenten Laptops aus, welche sie bei uns am Standort ganz normal verwenden dürften (Ins Internet gehen etc.).
Jedoch dürfen diese Geräte aufgrund der IT-Sicherheit nicht außerhalb des Standorts betrieben werden.

Dafür müssen wir eine Lösung finden und so langsam gehen mir die Google-Ideen aus.

Hat jemanden schonmal mit sowas gearbeitet, bzw gelöst und könnte mir helfen?

Grüße

word.exe · 15. Juli 2024

^ Korrigiere: Sie dürfen außerhalb des Standorts betrieben werden zum Lernen, jedoch darf eine Internetverbindung nur innerhalb des Standorts bestehen und nicht außerhalb.

SR2021 · 15. Juli 2024

Was wäre denn dein Ansatz?
Mir würden spontan zwei relativ simple Ansätze einfallen (Boot über Netzwerk, Profilbeschränkungen).

Man kann sich aber auch eine Art Software Dongle basteln, dass beim Start eine beliebigen Netzwerkpfad oder eine bestimmte Datei auf dem Server als Grundbedingung zum starten des Betriebssystems benötigt.

allesweg · 15. Juli 2024

Als Denkanstoß: wenn $Netzwerkgerät nicht erreichbar, alle Netzwerkschnittstellen deaktiveren

Maniska · 15. Juli 2024

Für Wifi kann man mit einer Whitelist arbeiten:

https://www.windowspro.de/wolfgang-sommergut/wlans-blockieren-zulassen-netshexe-gpos

Die eingebaute Netzwerkkarte kann man dann entweder direkt im BIOS deaktivieren falls man das nicht braucht, explizit deaktivieren in Windows - oder man hat Geräte ohne Netzwerkkarte.

Wie man dann allerdings auch noch zusätzlich zuverlässig verhindern kann dass Irgendwas mit NIC über einen USB Anschluss kommt...

Um was für Schulungen/Teilnehmer handelt es sich denn? Von wie "technisch affin" müsste man ausgehen?
Könntet ihr mit einem "allways on" VPN die Geräte immer et mal nach "zuhause" tunneln und dann wieder "frei laufen" lassen?
Warum müssen die Geräte überhaupt die Schulungsumgebung verlassen? Kann man den zu lernenden Inhalt nicht hinter einer Website mit Zugangsdaten oder einer RDS-Farm verstecken?

ickevondepinguin · 15. Juli 2024

DNS statisch setzen in den Netzwerkschnittstellen. Einen DNS aus dem Unternehmensnetz wählen der aus allen Teilnetzen erreichbar ist. Standarduser kann ja statische IP-Konfigurationen nicht einfach ändern....

Amorphium · 15. Juli 2024

Oder die Laptops durch Desktop PCs ersetzen

word.exe · 16. Juli 2024

vor 22 Stunden schrieb Maniska:

Für Wifi kann man mit einer Whitelist arbeiten:

https://www.windowspro.de/wolfgang-sommergut/wlans-blockieren-zulassen-netshexe-gpos

Die eingebaute Netzwerkkarte kann man dann entweder direkt im BIOS deaktivieren falls man das nicht braucht, explizit deaktivieren in Windows - oder man hat Geräte ohne Netzwerkkarte.

Wie man dann allerdings auch noch zusätzlich zuverlässig verhindern kann dass Irgendwas mit NIC über einen USB Anschluss kommt...

Um was für Schulungen/Teilnehmer handelt es sich denn? Von wie "technisch affin" müsste man ausgehen?

Könntet ihr mit einem "allways on" VPN die Geräte immer et mal nach "zuhause" tunneln und dann wieder "frei laufen" lassen?

Warum müssen die Geräte überhaupt die Schulungsumgebung verlassen? Kann man den zu lernenden Inhalt nicht hinter einer Website mit Zugangsdaten oder einer RDS-Farm verstecken?

Aufgrund von mehreren IT-Sicherheitsgründen darf WIFI nicht genutzt werden.

Bei den Teilnehmern handelt es sich um Soldaten. Gleichzusetzen wie ... Schüler ...

Die Geräte müssen den Standort verlassen, damit diese von zuhause aus lernen können. (Digitalisierung 🤡)

Unsere Website darf nur aus dem Intranet erreich werden, eine VPN Lösung ist nicht im Sinne des Dienstherren.

^ Das sind die Probleme die wir haben

charmanta · 16. Juli 2024

Am 15.7.2024 um 08:25 schrieb word.exe:

müssen wir eine Lösung

wer sind "wir" denn ?

Zumindest ICH möchte erstmal wissen ob ich hier einem Azubi oder einem Träger / DIenstleister helfen soll

Normalerweise ist das in den Kasernen übrigens "anders" gelöst ... was Fortbildungen angeht

allesweg · 16. Juli 2024

Am 15.7.2024 um 08:25 schrieb word.exe:

Jedoch dürfen diese Geräte aufgrund der IT-Sicherheit nicht außerhalb des Standorts betrieben werden.

vor 56 Minuten schrieb word.exe:

Die Geräte müssen den Standort verlassen, damit diese von zuhause aus lernen können. (Digitalisierung 🤡)

Ja was denn nun?

t1nk4bell · 16. Juli 2024

vor 6 Stunden schrieb allesweg:

Ja was denn nun?

Am 15.7.2024 um 08:59 schrieb word.exe:

^ Korrigiere: Sie dürfen außerhalb des Standorts betrieben werden zum Lernen, jedoch darf eine Internetverbindung nur innerhalb des Standorts bestehen und nicht außerhalb.

Tratos · 17. Juli 2024

Man könnte mit einer RADIUS Authetifizierung arbeiten,

Alternativ aber das wissen wir nicht einen Standart User einrichten der auf jedem Rechner Local installiert ist dessen rechte so weit beschnitten sind, das er keine veränderungen vornehmen kann. Wenn er am Standort ist wird er übers Domänen Netzwerk angemeldet und nicht local.

Die Netzwerkschnistelle ist dann entsprechend am Standort passend über VLAN, etc. und gesetzte Config. am Rechner für Internet verfügbar.

Aber dazu wissen wir als externe zu wenig über die eingesetzte Software, die Stufe der Verschlüsselung, die nötigen Mitarbeiter/Schüler Rotationen und entsprechende Backup und sonstige Strategien.

Wenn das nicht intern gelöst werden kann, würde ich mir ein externes Systemhaus holen.

Anmelden

[GPO] Nur im Intranetz ans Netz

Empfohlene Beiträge

word.exe

word.exe

SR2021

allesweg

Maniska

ickevondepinguin

Amorphium

word.exe

charmanta

allesweg

t1nk4bell

Tratos

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Benutzerkonto erstellen

Anmelden

Fachinformatiker Jobs

Fachinformatiker.de, 2024 by SE Internet Services

Links

Fachinformatiker.de App

Kontakt

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

Umsehen

Aktivitäten

Stellenanzeigen

Blog

Über Fachinformatiker.de