froehlich Geschrieben 30. Dezember 2004 Geschrieben 30. Dezember 2004 Moin zusammen, mir wurde die Aufgabe übertragen, mir Gedanken über ein Sicherheitskonzept für die Notebooks unserer Außendienstmitarbeiter zu machen... Ich habe auch schon einige Ideen, bin aber offen für Anregungen und Vorschläge (gerade auch was mögliche Softwareprodukte angeht). Das Konzept soll eine Verschlüsselung der Daten als Diebstahlschutz beinhalten, sowie Firewall- und Virenschutz, und nicht zuletzt natürlich ein Recovery Konzept, welches eine "möglichst aktuelle" Wiederherstellung des Systems in weniger als einem Tag erlaubt. Unsere Außendienstmitarbeiter sind zum größten Teil Vertriebler, welche auf ihren Notebooks zum Beispiel Schulungen oder Produktvorstellungen vornehmen, aber auch Techniker, welche sich in Kundennetze einwählen sollen, um zum Beispiel Datenpflege zu machen, oder aber den Kunden bei Problemen zu unterstützen. Bei den Vertrieblern ist davon auszugehen, dass nur wenig Betriebssystemkenntnisse vorhanden sind (das Notebook mit den installierten Anwendungen muß einfach "laufen" und die Jungs und Mädels wollen eigentlich nicht viel dazu wissen oder tun müssen). Bei den Technikern ist etwas mehr eigenes Engagement und Know-How zu erwarten. Bei den Notebooks handelt es sich um verschiedenste Marken und Modelle, aber alle werden künftig mit Windows XP ausgestattet sein. Alle Notebooks werden mehr oder weniger regelmäßig im lokalen Netzwerk angeschlossen, oder per VPN eine Verbindung ins Firmen-LAN aufnehmen können. Beim Virenschutz habe ich mich schon auf unsere Firmenlösung Trendmicro OfficeScan eingeschossen (muss mich da nur nochmal schlaumachen über die Möglichkeiten, dieses im "Offlinemodus" aktuell zu halten). Zum Recovery bietet sich für uns wohl Powerquests Drive Image (da auch bisher benutzt) in der aktuellen Version an, welches auch inkrementelle Sicherungen erlaubt. Diese Sicherungen dann in einem mit dem Netzwerk synchronisierten Ordner abgelegt, sollte für die notwendige Aktualität sorgen können. => andere Vorschläge? Für die Userdaten schwebt mir ebenfalls eine Offline-Ordner Funktion vor, wobei ich mit der Windows-eigenen Funktion noch nicht ganz warm geworden bin (gerade, was Datenkonsistenz bei Ausfällen/Abbrüchen angeht) => Produktvorschläge? Zum Thema Verschlüsselung und Firewall fehlt mir ehrlich gesagt ein wenig das notwendige Grundwissen. Hier wäre ich für Anregungen sehr dankbar - gerne auch gute Anleitungen... Das Hauptproblem zum Thema Firewall, ist die oben erwähnte Anforderung, dass der Anwender in der Lage sein soll, sich in Kundennetzen zu bewegen und dennoch geschützt zu sein (und das bei wenig eigenem Wissen). Zur Verschlüsselung weiß ich - wie schon geschrieben - einfach zu wenig und hoffe auf eure Tipps! So, bevor dieser Post noch länger wird, mache ich lieber Schluß und bin gespannt, ob jemand es tatsächlich schafft bis zum Ende zu lesen und mir vielleicht sogar zu helfen... Vielen Dank schonmal im vorraus und natürlich einen guten Rutsch ins neue Jahr! Gruß froehlich Zitieren
Doham Geschrieben 30. Dezember 2004 Geschrieben 30. Dezember 2004 Moin zusammen, [...]Zum Recovery bietet sich für uns wohl Powerquests Drive Image (da auch bisher benutzt) in der aktuellen Version an, welches auch inkrementelle Sicherungen erlaubt. Diese Sicherungen dann in einem mit dem Netzwerk synchronisierten Ordner abgelegt, sollte für die notwendige Aktualität sorgen können. => andere Vorschläge? Sind die AD´ler innerhalb eines Tages bei Dir (bzw. deren Notebook) oder sind die Leute auch mal für x Tage auf einer Messe unterwegs? Dann müssten sie eventuell selbst die Möglichkeit haben eine DaSi zurückzusichern (evtl mit telefonischem Support von euch). Meine Leute sind auch mal in Japan oder sonst wo unterwegs und müssen im Notfall dann per Telefon durchgeführt werden. Da wir nur IBM Notebooks z.Zt. die R51 verwenden haben wir auf allen neueren Notebooks (ab ~ Ende 2003 ??) Rapid Recovery (von IBM standardmässig installiert) im Einsatz. Vielen Dank schonmal im vorraus und natürlich einen guten Rutsch ins neue Jahr! dito Zitieren
froehlich Geschrieben 31. Dezember 2004 Autor Geschrieben 31. Dezember 2004 Sind die AD´ler innerhalb eines Tages bei Dir (bzw. deren Notebook) oder sind die Leute auch mal für x Tage auf einer Messe unterwegs? Dann müssten sie eventuell selbst die Möglichkeit haben eine DaSi zurückzusichern (evtl mit telefonischem Support von euch). Guter Einwand! Im Normalfall sind die Vertriebis recht zügig wieder da (zumindest arbeiten wir bisher fast ausschließlich innerhalb Deutschlands). Aber es kommt sicher schonmal vor, dass ein Einsatz über mehrere Tage dauert (wie die erwähnte Messe). Ich hab mir das Rapid Recovery mal eben kurz angesehen: Das ist aber wohl nur für IBM Notebooks, richtig? Leider ist unsere bisherige Hardwareausstatuung recht breit gestreut: Compaq / HP, Acer, Fujitsu Siiemens sind da hauptsächlich vertreten, wobei die Entscheider sich inzwischen anscheinend auf HP eingeschossen haben (mal sehen, wie lange das anhält... ) Will mal sehen, ob es ähnlich gelagerte Tools gibt. Ansonsten will ich noch vorschlagen, dass man den Leuten ein relativ dichtgeschnürtes Basis-System an die Hand geben könnte, mit den Standard-Anwendungen wie Office, Mail-Client, VPN Access, etc. Auf diesem Basis System sollten sie möglichst wenig Recht bekommen. Als Spielwiese (zum Beispiel für die zu demonstrierenden Anwendungen) ließe sich ja zum Beispiel VM-Ware einrichten. Hier dürfen die Benutzer dann auch mehr Rechte innerhalb der Sitzung geniessen und sich austoben. Wenn dann mal was kaputt geht, könnte man einfach eine zuvor eingerichtete standard VM-Ware Sitzung starten (bzw. eine vorherige Sicherung wieder aktivieren). Allerdings wird diese Möglichkeit sicherlich eine Schulung der Anwender erfordern und auch wohl einige der Notebooks schlicht überfordern... Vielleicht noch weitere Ideen oder Anregungen? Gruß froehlich Zitieren
Doham Geschrieben 31. Dezember 2004 Geschrieben 31. Dezember 2004 Ich hab mir das Rapid Recovery mal eben kurz angesehen: Das ist aber wohl nur für IBM Notebooks, richtig? ja, leider. Leider ist unsere bisherige Hardwareausstatuung recht breit gestreut: [...] Meine Firma kauft nur IBM und solange wie möglich ein Modell. Das hilft bei uns in der EDV den Administrations/Support-Aufwand zu minimieren. Da ich mir einfach ein Gerät das rumsteht schnappen und den User im Notfall telefonisch durchführen kann. Bei verschiedenen Herstellern, Lösungen wird das schwierig. Will mal sehen, ob es ähnlich gelagerte Tools gibt. sicher. Ich hab jetzt in dem Bereich wenig Ahnung, aber wie wärs mit einer Unattended Setup CD für WinXP + Tools. Also CD einlegen, booten und per Telefon durchführen lassen bzw. das Skript laufen lassen. (IBM's Notfallfunktion funktioniert ähnlich (also nicht RapidRecovery sonder Systemwiederherstellung/Neuinstallation). Ansonsten will ich noch vorschlagen, dass man den Leuten ein relativ dichtgeschnürtes Basis-System an die Hand geben könnte, mit den Standard-Anwendungen wie Office, Mail-Client, VPN Access, etc. Auf diesem Basis System sollten sie möglichst wenig Recht bekommen. Als Spielwiese (zum Beispiel für die zu demonstrierenden Anwendungen) ließe sich ja zum Beispiel VM-Ware einrichten.[...] Das wäre auch eine Idee. Allerdings braucht VM-Ware schon einiges an RAM und Leistung. Ich würde versuchen ein Tool zu bekommen, mit dem ich möglichst einfach eine Partition zurück auf die Platte spielen kann (ob von CD oder versteckter Partition ist eigentlich ja egal). Aber experementier doch mal mit der WinXP-Systemwiederherstellung. Evtl hilft das bei einfachen Problemen sprich Konfigurationsfehlern auch. Zitieren
Genesis-a Geschrieben 1. Januar 2005 Geschrieben 1. Januar 2005 Hallo, dann will ich mal was zu den Punkt "Verschlüsselung" beitragen: Ich empfehle den Einsatz des Programms SaveGuard Easy von der Firma Utimaco: [Auszug aus den Merkmalen:] Pre-Boot Authentisierung durch Passwort oder eToken Umfassende Verschlüsselungsmöglichkeiten: o Komplette oder partielle Festplattenverschlüsselung unabhängig vom Dateisystem (z.B. NTFS, FAT) o Verschlüsselung von externen Datenträgern Einsatz starker und weltweit anerkannter Algorithmen o AES (256 und 128 bit) IDEA (128 bit) und andere Sicheres Schlüssel-Management: Passworte und Schlüssel werden nicht auf der Festplatte hinterlegt Sicherer Hibernation & Stand-by Modus o Verschlüsselung des „Suspend to Disk“ Modus o Erneute Authentisierung nach Beendigung des Hibernation-Modus („Resume“) nötig Integrierter Boot Manager zur Unterstützung von mehreren Betriebssystemen bzw. gesicherten und ungesicherten Partitionen auf dem gleichen Endgerät Nachteil ist, das System auf der verschlüsselten Platte kann etwas langsamer werden. Dafür ist die Festplatte bzw. Partition komplett verschlüsselt. Aja und es musss ein Windows Betriebsystem installiert sein. Darauf installierst du die Software, nach einen Neustart fängt das System an die Festplatte zu verschlüsseln. Also wenn du z.B. sowas wie oben mit VMWare machst, dann muss das "Grund Betriebsystem" Windows sein, darauf installierst du dann SafeGuard Easy und dann ist alles was "darunter" liegt verschlüsselt. Gruß, Genesis Zitieren
Gottesgeschenk Geschrieben 3. Januar 2005 Geschrieben 3. Januar 2005 für die verschlüsselung würde ich dir --> POINTSEC <-- empfehlen. das programm wird auch von etlichen großfirmen eingesetzt um die notebooks der außendienstmitarbeiter zu schützen. das system verschlüsselt die komplette festplatte. während des bootforganges, werden die daten entschlüsselt. dazu passend gibt es auch ein backupprogramm, welches dir entweder images der platte herstellt oder die platten spiegelt. Zitieren
dream Geschrieben 18. Januar 2005 Geschrieben 18. Januar 2005 Das ganze hört sich sehr nach MEINEm abschluss Projekt an, womit ich aber noch nicht fertig bin, wobei ich die daten sicherung alleine über offline syncronation , per VPN laufen lassen werde (bzw Wenn das so funktionieren wird, wie ich mag) Nun hoff ich nur noch das dieses AbschlussProjekt genemigt wird... :beagolisc :beagolisc Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.