Terminalserver-Nutzung
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
administrator
anmeldung
arbeitgeber
benutzer
chef
datum
dienst
einrichten
frage
kenntnis
konto
nutzen
programm
rechner
richtung
server
sicherheitsproblem
system
url
verbindung
-
Hallo zusammen,
über eine Terminalserver-Verbindung bin ich mit dem Server meines Arbeitgebers verbunden (Heimarbeitsplatz). Mein PC läuft unter Win8, der Server im Betrieb läuft als Windowsserver 2008-R2. Die Software, die ich benutze ist komplett auf dem Server meines Arbeitgebers installiert.
Bei mir wird zunächst über den Router ein FRITZ!Fernzugang aufgebaut, danach muß ich mich auf dem Server mit meinem Passwort einloggen, und zwar mit einer Remotdesktopverbindung (.RDP). Es werden (soweit ich das verstanden habe) nur Mausklicks und Tastatur-Eingaben von meinem Rechner übertragen.
Damit sind meine Kenntnisse auch schon zu Ende und ich habe das ungute Gefühl, dass ich damit die Möglichkeit zugelassen habe, dass mein Rechner von der Gegenseite ausspioniert wird, oder das zumindest Informationen von meinem Rechner weitergegeben werden, über die ich keine Kontrolle habe.
Jetzt meine Frage an Euch: Ist das möglich, oder eher schwierig? Kann ich das überprüfen/überwachen/protokollieren?
Meine Netzwerk-Kenntnisse sind die eines Anfängers, daher stelle ich diese Frage hier. Bitte klärt mich auf. Danke!
Viele Grüße
John -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Die Lösung ist relativ einfach: Richte Dir ein eingeschränktes Benutzer-Konto ein.
Für dieses kannst Du unter
>Start >Systemsteuerung >Verwaltung >Computerverwaltung >lokale Benutzer und Gruppen >Benutzer
die Rechte festlegen, die dieser Benutzer hat.
Alle Daten, von denen Du nicht willst, daß Dein Chef sie sieht, packst Du auf andere Konten. -
Generell sind bei jeder Verbindung Datenaustausch in beide Richtungen möglich. Je nach dem, wie gut der IT-Fachmann des Arbeitgebers ist, wird dieser schon sehr viel dafür getan haben, die Sicherheit auf dem TS zu gewährleisten (Clients sauber getrennt, kein Zugriff auf externe Festspeicher, ....). Die Gefahr, dass Daten von dort entwendet oder unerwünschte Programme eingeschleußt werden, ist auf seiner Seite viel größer und der finanzielle Schaden höher.
Ohne viel Aufwand kann man auf Deiner Seite nicht viel machen. Am einfachsten ist es, sich eine Firewall zu installieren und dort alle ausgehenden Daten, bis auf die notwendigen, zu blocken.
Grundsätzlich sollte ein Arbeitsverhältnis jedoch auf Vertrauen aufgebaut sein. Ist dieses Vertrauen nicht mehr gegeben, gibt es das Mittel der Kündigung. -
natürlich ist nur der IT-Fachmann auf der Seite des Arbeitgevers von Relevanz?
Ja, wenn man selbst keine Ahnung von seinem System hat. Ob man in so einem Fall aber Sicherheitsratschläge an andere User geben sollte, die selbst von sich sagen, daß sie keine großen Kenntnisse haben, wage ich doch zu bezweifeln.
Wenn ich in einem Forum für Hilfestellung bei Computerproblemen von selbsternannten Profis immer noch solche saudummen Vorschläge höre wie: Das kannst Du über "ausführen als Administrator" machen, weil die immer noch nicht kapiert haben, daß - solange dieser Dienst ("sekundäre Anmeldung") nicht abgeschaltet ist - sich auch jedes Schadprogramm selbst zum Administrator machen kann und damit Zugriff auf alle Bereiche des Systems hat, fällt mir fast nichts mehr ein.
Daß man sich eine "Firewall" einrichtet unhd damit gleich meint, man sei auf der "sicheren Seite", ist ein gefährlicher Trugschluß.
Witzigerweise sind das dann auch die Typen, die alle Nase lang ihr System wegen Sicherheits-Problemen neu aufsetzen müssen (während meines stabil und sicher über ein Jahrzehnt läuft), die mir erzählen, daß mein System unsicher ist und ich dringend nach Windoof hassenichgesehn umsteigen muß.
@john-w: eingeschränktes Benutzerkonto einrichten, die Dienste "sekundäre Anmeldung" und "Remote-Registrierung" abschalten, relevante und vertrauliche Daten von diesem Konto fernhalten, reicht für Dein "Sicherheitsproblem".
Im Idealfall trennst Du System & Programme von allem anderen (einschließlich dem Ordner "Dokumente und Einstellungen"). Vorzugsweise sind Deine Daten auf einer anderen Partition oder Festplatte.
Ich weise inzwischen nicht mehr auf die Möglichkeit hin, alle Weboperationen aus einer virtuellen Umgebung heraus vorzunehmen, weil da auch alle möglichen Leute alles besser wissen. Fakt ist, wenn mein virtuelles System verseucht ist, lösche ich den Container und fange einen neuen an. Ich muß nicht mein System neu aufsetzen.
Und was ausserhalb des Containers in meinem Rechner passiert, ist für Programme im Container unsichtbar.
Und in der Bewertung drückt sich dann der Kenntnisstand der Web-Spezialisten von Lima in Sachen Sicherheit aus, oder wie?
Beitrag zuletzt geändert: 3.3.2016 7:05:46 von john-gunn -
Wäre TeamViewer denn eine alternative? Soviel ich weiss, bleiben die dateien auf dem eigenden rechner, es sei denn natürlich, man läd sie hoch. So kann man auch von zuhause aus arbeiten im Büro erledigen. Problem ist nur, dass alles was du mit teamviewer machst kann auch gleichzeitig dein chef mitverfolgen.
Wo ich mit einem laptop im Schulnetzwerk einen Rechner Übernehmen wollte, wurde der benutzer abgemeldet. Dieser konnte nichts mehr sehen, was ich auf dem rechner gemacht hatte. Ob das auch bei dir der fall ist, kann ich leider nicht beantworten. -
eingeschränktes Benutzerkonto einrichten, die Dienste "sekundäre Anmeldung" und "Remote-Registrierung" abschalten, relevante und vertrauliche Daten von diesem Konto fernhalten, reicht für Dein "Sicherheitsproblem".
Im Idealfall trennst Du System & Programme von allem anderen (einschließlich dem Ordner "Dokumente und Einstellungen"). Vorzugsweise sind Deine Daten auf einer anderen Partition oder Festplatte.
Was hindert Angreifer daran, Trojaner, Keylogger oder andere Spyware auf der Festplatte abzulegen und sich so Zugriff zu verschaffen? Eine Kontrolle der gesendeten Daten in Richtung Internet halte ich da für sinnvoller.
Die Wahrheit ist, es gibt nur eine Möglichkeit der Sicherheit - Computer ausschalten! Alles andere ist ein Spiel von Aufwand und Nutzen. Je höher der vermutete Nutzen aus Deinen Daten oder der Übernahme Deines Computers ist, umso mehr Aufwand (Geld) mußt Du für die Absicherung aufwenden, um Angreifer auf ein lohnenderes Ziel zu lenken.
Wäre TeamViewer denn eine alternative?
Teamviewer müßte dann auf dem Server vom Administrator installiert werden. Dies scheidet wohl in dem konkreten Fall aus. Aber auch Teamviewer ist immer eine bidirektionale Verbindung.
Beitrag zuletzt geändert: 3.3.2016 10:05:30 von waytogermany -
waytogermany schrieb:
Unabhängig davon stellt sich die Frage, ob TeamViewer überhaupt funktional auch nur annähernd mit RDS (= Remote Desktop Services = aktuelle Bezeichnung der »Terminalserver«-Funktionalität) mithalten kann. Diese Frage würde ich mit »Nein« beantworten.
Wäre TeamViewer denn eine alternative?
Teamviewer müßte dann auf dem Server vom Administrator installiert werden. Dies scheidet wohl in dem konkreten Fall aus. Aber auch Teamviewer ist immer eine bidirektionale Verbindung.
Zur Sicherheitsfrage: per RDP kann man alle möglichen Geräte weiterleiten (z.B. Mikrofone, Drucker usw), sowie lokale Festplatten freigeben. Dann kann der Server auf diese freigegebenen Ressourcen zugreifen und auch Daten auslesen (oder verändern). Wenn man das nicht will, muss man das vor dem Verbindungsaufbau einfach deaktivieren. Im Fall einer rdp-Konfigurationsdatei müsste man dazu diese Datei entsprechend mit einem Editor anpassen und falls vorhanden die Prüfsumme anschließend entfernen, da sie dann ja nicht mehr stimmt.
Im Normalfall ist es allerdings dem Administrator viel wichtiger, dass du keine Daten vom Server herunterlädst und auch nichts hochladen kannst! Runterladen = Informationen könnten in falsche Hände gelangen, Hochladen = Sicherheitsproblem (Viren, …)
Wenn du überhaupt niemandem traust, also auch deinem RDP-Client trotz entsprechender Konfiguration nicht, dann bleibt dir wohl nur übrig, RDP in einer VM zu nutzen, und alle interessanten Daten (und Geräte, wie z.B. Mikrofone) von dieser VM fernzuhalten.
Mit Protokollieren wird es übrigens ziemlich sicher nichts werden, da die via RDP übertragenen Daten (normalerweise) mit SSL verschlüsselt werden.
Beitrag zuletzt geändert: 3.3.2016 11:28:23 von hackyourlife -
Wow!! Vielen herzlichen Dank an ALLE für die Antworten, ich wußte, dass ich hier mit meiner Frage richtig bin. :)
hackyourlife schrieb:
Wenn du überhaupt niemandem traust, also auch deinem RDP-Client trotz entsprechender Konfiguration nicht, dann bleibt dir wohl nur übrig, RDP in einer VM zu nutzen, und alle interessanten Daten (und Geräte, wie z.B. Mikrofone) von dieser VM fernzuhalten.
Das erscheint mir auf den Ersten Blick logisch und sinnvoll. Ich habe bereits seit längerem Oracle VM VirualBox laufen, in der ich eine alte 16bit-Anwendung unter XP betreibe. Allerdings ist die einzige Verbindung nach 'draussen' über einen gemeinsamen Ordner in meinem Betriebssystem. Netzwerkanknüpfung usw. funktionierte von Anfang an nicht richtig, und wenn es tat, dann hatte Oracle mir die Verbindung von meinem Hauptsystem gekappt. Ich konnte es mit meinen rudimentären Kenntnissen nur durch Rücksicherung auf einen vorherigen Sicherungspunkt so ändern, dass mein PC wieder ins Internet kommt, und die Verbindung aus der Virtuellen Box wieder gekappt war. Fand ich eigentlich ganz gut soweit, weil (scheinbar) sicher.
Ohne Verbindung ist das ja nicht durchführbar.
Ich werde mich mal mit den anderen Vorschlägen auseinandersetzen. Speziell dieser Vorschlag scheint mir auf den ersten Blick umsetzbar:
@john-w: eingeschränktes Benutzerkonto einrichten, die Dienste "sekundäre Anmeldung" und "Remote-Registrierung" abschalten, relevante und vertrauliche Daten von diesem Konto fernhalten, reicht für Dein "Sicherheitsproblem".
Ich habe ja kein grenzenlose Mißtrauen gegenüber meinem Arbeitgeber, aber so ganz leicht möchte ich es einem 'Neugierigen' auch nicht machen.
Über weitere Ausführungen von wäre ich dankbar, auch wenn dabei noch ganz andere Vorschläge auf den Tisch kommen.
Viele Grüße
John
Beitrag zuletzt geändert: 3.3.2016 12:47:50 von john-w -
sorry Leute, aber dieser Thread ist fernab jeglicher Qualität einer technischen Hilfestellung/Beratung. In meinen Augen absoluter Bullshit... die wichtigsten Fragen wurden nicht geklärt und anhand von Glaskugel, gefährlicher Annahmen und dem göttlichen Über-Ich einiger weniger, deren Beratungsqualität dem Verdauungsendprodukt der heutigen Mittagsmahlzeit entspricht(vermutlich dünnflüssig und ohne Substanz) wurden hier Behauptungen und Empfehlungen aufgestellt, die den Fragesteller in falscher Sicherheit und Paranoia zugleich wiegt.
über eine Terminalserver-Verbindung bin ich mit dem Server meines Arbeitgebers verbunden (Heimarbeitsplatz). Mein PC läuft unter Win8, der Server im Betrieb läuft als Windowsserver 2008-R2. Die Software, die ich benutze ist komplett auf dem Server meines Arbeitgebers installiert.
Bei mir wird zunächst über den Router ein FRITZ!Fernzugang aufgebaut, danach muß ich mich auf dem Server mit meinem Passwort einloggen, und zwar mit einer Remotdesktopverbindung (.RDP). Es werden (soweit ich das verstanden habe) nur Mausklicks und Tastatur-Eingaben von meinem Rechner übertragen.
Das sagt wenig aus. Wichtig sind hierbei juristische und technische Fragen zu klären:
1. handelt es sich hierbei um deinen Privat-PC oder vom AG gestellten Arbeits-PC?
wichtig um Abzuklären, welche Rechte der AG hat
2. wurde der Computer in die Firmen-Domäne integriert?
benötigst du Zugang zum Domaincontroller deines Arbeitgebers, um dich auf deinem PC zu authentifizieren, hast du Adminrechte über deinen PC oder hat die wer anders? Wichtige Frage, um die Vertrauenswürdigkeit/technische Kompetenz deines AG abzustecken
Des weiteren ist die Fritzbox ein Problem, es könnte ein proxy eingerichtet worden sein, der deinen privaten Internet-Verkehr mitprotokolliert, zum beispiel welche seiten du während deiner Arbeitszeit so ansurfst, logindaten, etc... eine klassische mitm attacke... also wenn du die fritzbox zum surfen nutzt... und nciht über einen anderne einwahlpunkt rein gehst...
die Fragen müssen erstmal geklärt sein, bevor wir weiter machen können... -
Lieber John!
Ich hatte auf die von Dir favorisierte virtuelle Umgebung hingewiesen, weil das mein mit Erfolg seit über einem Jahrzehnt betriebense System ist. Offensichtlich hast Du da überlesen. Macht aber nichts, das bin ich von Lima-Usern gewohnt.
hackyourlife hat ja auch in diese Richtung verwiesen.
Du hattest aber die Befürchtung zum Ausdruck gebracht, daß die Gegenseite (also Dein Chef Dich ausspioniert). Im Laufe eines langen Lebens habe ich gelernt, daß Chefs deshalb Chefs sind, weil sie Angestellte brauchen, die ihre Arbeit für sie erledigen. Das ist sogar trivial, wie ich Dir an Hand einiger netter Anekdoten beweisen könnte. Leider fehlt mir dazu aktuell die Zeit.
Wenn Du also keinen besonderen Grund zu der Annahme hast, daß Dein Chef der seit langem von allen Polizeidienststellen (CIA,KGB,NSA,FBI usw.) gesuchte Superhacker ist, magst Du getrost davon ausgehen, daß er weniger Computerkenntnisse hat als mindestens die Hälfte seiner Leute und dann reichen diese Sicherheitsvorkehrungen durchaus.
Dobre djen da, Towaritsch Sebulon!
Beitrag zuletzt geändert: 3.3.2016 17:30:29 von john-gunn -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
