Seite 1 von 1
Unsichere Clientbetriebssysteme
Verfasst: 01.11.2013, 11:13
von Vandist
Hallo Community,
wenn man Windows XP/ungepatchte Win7 Clients vom Produktivnetz fernhalten will, sowohl im Cluster als auch im Lokal Mode, wie würdet ihr soetwas lösen bzw. herangehen?
Habe schon einge Ansätze gemacht aber bin mir noch nicht zu 100% sicher welchen Weg ich gehen soll:
- Workgroups aufteilen
- Domäne für diese Clients
- Private VLANs
Über jeden Beitrag wäre ich sehr dankbar!
Grüße
Verfasst: 01.11.2013, 11:18
von Dayworker
Was meinst du mit Offline VM?
Verfasst: 01.11.2013, 11:40
von irix
Wir schieben solche VMs in ein extra Netz/VLAN welches an einer (Virtuellen)FW haengt. So kann WSUS,Antivirus,KMS usw. bereit gestellt werden bzw. geregelt werden was rein bzw aus dem Netz raus darf.
Hat man viele von solchen VMs und moechte die Anzahl der Netze nicht explodieren lassen so haben wir PrivateVLAN IDs um die VMs untereinander zu isolieren.
Allerdings bin auch ich mir nicht sicher was du mit Offline VM genau meints. Sind es
- Isolierte? ( Das haben wir)
- Ausgeschaltete
- Offline Desktops von VIEW/Horizin (Haben wir auch)
Gruss
Joerg
Verfasst: 01.11.2013, 12:11
von Vandist
Ich meine damit "ausgecheckte" VM die auf der Hardware des Notebooks betrieben werden.
Da diese teilweise noch unter XP laufen und der Support ja bald endet..dürfen diese nicht mehr ins Produktivnetz gelangen. Hoffe das erklärt meine Sachlage genauer! Schon mal danke für die Beiträge
gruß
Verfasst: 01.11.2013, 13:16
von ~thc
Mach erst mal eine Bestandsaufnahme der denkbaren Bedrohungen für solche VMs im "Normalbetrieb":
- Bedrohungen durch den Betrieb als VM (Bugs in den Tools, Ausbruch aus dem Hypervisor)
- Bedrohungen aufgrund des Betriebssystems allein (Flame, Conficker)
- Bedrohungen durch automatisch gestartete Apps/Dienste (Virenscanner, Möchtegern-Helferleins und sonstige Gurkensoftware)
- Bedrohungen durch vom Nutzer gestartete, verwundbare Software
- Bedrohungen durch Nutzerverhalten (Social-Engineering-Trojaner, Drive-By-Donwloads, Datenklau)
Anschließen sollte sich eine Aufstellung der möglichen Abwehrmaßnahmen (Anpassungen, Isolation, zusätzliche Software, Richtlinien) und des damit verbundenen finanziellen/zeitlichen Aufwands.
Und zuletzt kommt dann die Abwägung.
Verfasst: 02.11.2013, 15:33
von Dayworker
@Vandist
"Ich meine damit "ausgecheckte" VM die auf der Hardware des Notebooks betrieben werden."
Kannst du mal aufklären, was du damit meinst?
Verfasst: 02.11.2013, 15:44
von irix
Er meint "Offline Desktops" von VMware Horizion View.
Die Anwender koennen auf ihren PC, bei uns auf Laptops, ihre VM aus dem vSphere Cluster auschecken und haben eine spezielle Version des Players um diese dann lokal zubetreiben. Bei unserem Kunden gehen damit die Monteure dann zum Kunden bzw. Baustelle.
Wenn Sie dann mal wieder da sind checken Sie die wieder ein wobei nur das Delta an Aenderungen uebertragen wird.
Gruss
Joerg
Verfasst: 02.11.2013, 22:06
von Vandist
Danke Joerg für die bessere Erklärung
Gibt es unter Euch jemanden der schon soetwas lösen musste? Schreibe dazu eine Arbeit und würde mich über jede Information, gerne auch per PN, freuen.
Noch ein schönes Wochenende.
gruß
Verfasst: 02.11.2013, 22:30
von Dayworker
Danke irix für die Nachhilfe.
Verfasst: 12.11.2013, 11:08
von Vandist
noch jemand Vorschläge? Ihr könnt euch auch gerne per PM melden!