Re: XP/SP2 Firewall über W2K GPO deaktivieren

From: Peter Forster [MVP] (newsspam_at_liwest.at)
Date: 02/04/05 

Date: Fri, 4 Feb 2005 18:50:31 +0100

Howdie,

Nils Kaczenski [MVP] <jensmander20@hotmail.com> schrieb/wrote:
> naja ... es ist dein Netzwerk ...

Ich weiß dass es nicht optimal ist. Wenn ich nicht bereits mehrere Tage
arbeit darin investiert hätte, würde ich nicht so handeln...

>> Deshalb gleich Admin-Rechte und strikte Festlegung was
>> Programminstallation usw. betrifft.
>
> Und das nützt wieviel?

Bisher keine Probleme damit. Die Angestellten wissen dass es um Ihren Job
geht.

>> Klar, vor Schadprogrammen schützt
>> dieser Weg natürlich nicht. Da hilft blos der SUS und die aktive
>> Firewall.
>
> Warum sollten die dir bei Schadsoftware helfen? Das halte ich für eine
> gefährliche Illusion.

Weil es einen zentralen Zugangpunkt zum Internet gibt und dieser geschützt
ist Und mit Schutz meine ich wirklich geschützt. Es ist keinem Mitarbeiter
erlaubt irgendetwas aus dem Internet was .exe, .com .wasweis ich enthält
downzuloaden. Dafür sorgt der Proxy Server für die Mitarbeiter. Jeder
Datenverkehr egal ob Internet-Traffic oder E-Mail wird gefiltert und
gescannt. Alle Mails mit Dateianhängen (und dazu reicht schon eine.pps) wird
an einen zentralen Sicherheitsbeauftragten gesendet und der Mitarbeiter
erhält es erst nach Prüfung durch diesen.

Meine Clients haben auch keine lokale Firewall installiert, "nur" den
Virenscanner. Das einzige was bisher passiert ist, war der Blaster welcher
durch eine nicht genehmigte RAS-Leitung in einem anderen Standort
eingeschleust wurde. Der konnte bei mir aber nicht viel anrichten, da die
Patches ja installiert waren.

Wenn alles so einfach wäre, würde ich natürlich vieles anderes machen. Je
größer und zusammenhängender die Umgebungen jedoch werden, umsoschwerer wird
es seine eigenen Bedürfnisse abzudecken. Klar würd ich am liebsten jeden
User die Admin-Rechte entziehen und auch einen Hauptbenutzer seh ich nicht
gerne. Aber was willst du machen, wenn du die Lösung nehmen musst, welche
innerhalb der Sparten beschlossen wurde.

Zu beginn war es eh anders gelöst, nur funktionierte das nicht. Das Abrufen
der Kopfzeilen in Outlook konnte zB vom User nicht durchgeführt werden. Die
User wählen sich teilweise noch mit GSM-Geschwindikeit ein. Bis die
Anmeldung mit dem Checkpoint-Client am der FW durchgeführt war, wurde von
Outlook schon die Fehlermeldung ausgegeben, dass der Exchange Server nicht
erreichbar war. Gut, dann hat man ihnen gezeigt wie diese vorher das VPN
aufbauen können und erst dann E-Mail abrufen. Dies wurde nicht akzeptiert
weil es viel zu lange dauerte und der User auch noch Benutzername/Kennwort
der Firewall manuell eingeben musste.

Auch auf anderer Ebende wurde dies nicht aktzepiert, also hat man das
Auto-Login Feature aktiviert. Das ging 90 Tage lang gut, bis der User sein
Windows-Kennwort ändern musste. Danach ging natürlich das VPN auch nicht
mehr. Gut dachte ich mir, kein Problem erstelle eine Doku wie die User das
ändern können. Pustekuchen, die User konnten nicht, da der Checkpoint Client
gleich mal mit der Meldung kam dass dies nur mit Admin-Rechten funktionieren
würde. Also aus der Traum, den man vorher hatte.

Aber wie gesagt, das gehört bald der Vergangenheit an, ich hoffe mit der
neuen Software ist das nicht mehr notwendig. 

-- 
Peter, der Serverdoktor mit Gruß aus Enns/Österreich
MVP Windows Server Networking
Aktuelle Security Bulletins präsentiert von Microsoft Österreich
Anmeldung: 
http://msevents-eu.microsoft.com/cui/WebCastEventDetails.aspx?culture=de-AT&EventID=118753265&EventCategory=2