none
2 Netzwerkkarten in Windows Server - User sollten nur über eine Arbeiten können

    คำถาม

  • Hallo Zusammen

    Vielleicht kann mir jemand von Euch weiterhelfen?

    Ein Kunde von uns betreibt ein kleines RZ. In diesem RZ gibt es 1 Backup Netzwerk und diverse Kunden-Produktiv Netzwerke.

    Die Idee wäre, alle Server (Windos 2003+Windows 2008) der verschiedenen Kunden über ein einziges Backup LAN zu sichern. Darum hat der Kunde 2 Netzwerkkarten in die Server eingebaut. Soweit so gut.

    Jetzt ist es aber so, dass einige Kunden als Admins, per RDP (Produktiv-LAN), auf Ihre eigenen Server zugreifen müssen. Das Problem ist nun, wenn die Kunden als Admins auf Ihren Servern sind, könnten Sie, über das Backup Netzwerk, auf andere Kundenserver zugreifen.

    Gibt es eine Möglichkeit einzuschränken welche User oder Dienste auf eine Netzwerkkarte Zugriff haben, sprich die Kundenadmins keinen Zugriff aufs Backup-Lan zu geben?

    Das Einzige was über die BackupNetzwerkkarte gehen darf, ist der Backup Agent.

    Vielen Dank für Eure Ideen

    Hanspeter Thoma


    Hanspeter Thoma

    2 มีนาคม 2555 9:59

คำตอบ

  • Hallo, Hanspeter.
     
    Wenn die Kunden Admins auf den Servern sind: Nein, dann gibt es im OS
    keine Möglichkeit. Ein Admin ist ein Admin ist ein Admin... Da hilft
    dann nur eine Firewall im Backbone.
     
    BTW: Unter 2008 könnte man auf die Idee kommen, auf dem 2. Interface per
    Firewall Outbound zu blocken, hilft aber nicht, da "Admin ist Admin ist
    Admin ist...".
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    2 มีนาคม 2555 14:56

ตอบทั้งหมด

  • Hallo, Hanspeter.
     
    Wenn die Kunden Admins auf den Servern sind: Nein, dann gibt es im OS
    keine Möglichkeit. Ein Admin ist ein Admin ist ein Admin... Da hilft
    dann nur eine Firewall im Backbone.
     
    BTW: Unter 2008 könnte man auf die Idee kommen, auf dem 2. Interface per
    Firewall Outbound zu blocken, hilft aber nicht, da "Admin ist Admin ist
    Admin ist...".
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    2 มีนาคม 2555 14:56
  • Hallo Martin

    Vielen Dank für Deine Antwort.

    Sowas habe ich mir doch gedacht:-(

    Gruss Hanspeter


    Hanspeter Thoma

    2 มีนาคม 2555 17:09
  • Ja, so ist das mit den "Management-Netzen" gerne mal (-:
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    2 มีนาคม 2555 20:18
  • Hallo.

    Wenn Du die Firewall per GPO konfigurierst, und den entsprechenden Gruppen bzw. Personen die Rechte entziehst können diese an der Firewall auch nichts mehr drehen.

    Bei Server 2003 und 2008 ist das nur sehr eingeschränkt möglich die Firewall per Gruppenrichtlinie zu konfigurieren. Bei R2 geht das perfekt.

    Gruss Ingo

    5 มีนาคม 2555 13:54
  •  
    > Wenn Du die Firewall per GPO konfigurierst, und den entsprechenden
    > Gruppen bzw. Personen die Rechte entziehst können diese an der
    > Firewall auch nichts mehr drehen.
     
    Hallo Ingo. Laut seiner Info sind die Kunden lokale Admins auf dem
    Servern, und dann helfen GPOs leider NICHT. Ein Admin ist ein Admin ist
    ein Admin...
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    5 มีนาคม 2555 15:17
  • Hallo Martin. Da muss ich Dir leider widersprechen. Ich würde Dir gerne ein Bild von den Firewall Einstellungen schicken. Angemeldet als lokaler Administrator und alles grau. Da dreht keiner was dran. Wir haben das hier wegen iSCSI. Es ist nicht auszuschliessen, das man über entsprechende Registry-Einträge das aushebeln kann, aber wenn die Policy das nächste Mal verarbeite wird sind die wieder weg. Zudem könnte man Kunden Admins die Rechte zur Bearbeitung der Registriy entziehen. Machen wir hier so. Gruss Ingo
    5 มีนาคม 2555 15:30
  •  
    > Hallo Martin. Da muss ich Dir leider widersprechen. Ich würde Dir
    > gerne ein Bild von den Firewall Einstellungen schicken. Angemeldet als
    > lokaler Administrator und alles grau. Da dreht keiner was dran. Wir
    > haben das hier wegen iSCSI. Es ist nicht auszuschliessen, das man über
    > entsprechende Registry-Einträge das aushebeln kann, aber wenn die
    > Policy das nächste Mal verarbeite wird sind die wieder weg. Zudem
    > könnte man Kunden Admins die Rechte zur Bearbeitung der Registriy
    > entziehen. Machen wir hier so. Gruss Ingo
     
    Das Bild kenne ich ((-:
     
    Nicht per GUI, das ist schon klar. Aber wer hindert mich an regedit.exe?
    Und "Rechte entziehen" geht nicht, wenn man Admin ist - ein Admin kann
    sich IMMER alle Rechte durch Besitzübernahme wieder holen. Auch das
    "wieder weg" nach dem nächsten Update werde ich als Admin relativ
    einfach los - gpsvc in der Registry auf Start=4 setzen (disabled),
    Reboot und dann alles unter HKLM|HKCU\Software\Policies löschen.
     
    Das ist nicht "secure by design", egal wie Du es drehst ;-)
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    5 มีนาคม 2555 16:04
  • Hallo Martin.

    Dazu muss Du aber erst mal in die Registry rein. Wie willst Du die Registry bearbeiten wenn ich Dir per GPO das Recht zur Bearbeitung entziehe?

    Also ich gebe Dir gerne ein Zugang zu einem unser Testserver. Da kannst Du dich austoben. Meintwegen auch kaputt machen. Würde mich schon interessieren. Ob Du das schaffst.

    Gruss Ingo

    5 มีนาคม 2555 16:13
  •  
    > Also ich gebe Dir gerne ein Zugang zu einem unser Testserver. Da
    > kannst Du dich austoben. Meintwegen auch kaputt machen. Würde mich
    > schon interessieren. Ob Du das schaffst.
    >
     
    Kein Problem als Admin... Du kannst mir zwar regedit wegnehmen, aber
    nicht das API für die Registry. Her mit dem Zugang - wenn ich am
    Wochenende Zeit hab, mach ich das gerne ;-)
    Glaub mir - wenn ich *S-1-5-32-544 in meinem Token habe, dann gehört mir
    der Rechner, ganz egal, was Du vorher konfiguriert hast. Reicht schon,
    wenn ich nen geplanten Task starten kann - der ruft dann ne CMD auf, die
    als SYTEM macht, was ich brauche.
     
    Das war übrigens auch der Hauptgrund für das Übel mit den Power Users
    von XP...
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    5 มีนาคม 2555 20:14
  • Morgen.

    Klingt überzeugend. Werde ich natürlich prüfen.

    Aber auch wenn Du DEN Server übernimmst, dann hast Du die Firewall eben aus. Aber auf allen anderen Maschinen läuft auch eine die Du nicht ausbekommst und durch die Trennung in verschiedene VLANs und eng konfigurierte Firewall kommst Du hier nicht weit.

    Trotzdem sehr hilfreich und Anreiz um das Netzwerk noch sicherer zu machen.

    Gruss Ingo

    6 มีนาคม 2555 9:18
  •  
    > Aber auch wenn Du DEN Server übernimmst, dann hast Du die Firewall
    > eben aus. Aber auf allen anderen Maschinen läuft auch eine die Du
    > nicht ausbekommst und durch die Trennung in verschiedene VLANs und eng
    > konfigurierte Firewall kommst Du hier nicht weit.
     
    Ja, aber dann komme ich in das interne Backup-Netzwerk (wo ich laut
    Ursprungs-Post ja nicht hinkönnen soll). Und da auf meiner Kiste ein
    Backup-Agent läuft (an den ich als Admin auch rankomme), komme ich an
    das Backup-System. Und wie sicher das dann ist, das kann keiner so genau
    sagen ;-))
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    6 มีนาคม 2555 12:59