"Abgesicherte Umgebung" über VirtualBox schaffen

CPU

Lieutenant
Registriert
Jan. 2006
Beiträge
704
Hallo,

in einem normalen LAN-Netzwerk können die Mitarbeiter ganz normal ihren Computer verwenden, um sich mit Netzlaufwerken zu verbinden oder im Internet zu surfen. Nun gibt es ein Netzlaufwerk, dass unter speziellen Schutz gestellt werden soll: darauf befinden sich ein Programm, dass mit den Daten des Netzlaufwerks Informationen bereit stellt (Programm inkl. Daten liegen auf diesem Laufwerk, Start mittels Doppelklick). Dieses Netzlaufwerk mit Programm soll nun nicht mehr "Kontakt" mit dem Internet haben oder z.B. mit USB-Sticks, die in den Rechner gesteckt werden können und so Datenmissbrauch statt finden kann.

Es kam die Idee auf, das in einer VM laufen zu lassen. Also man packt da ein minimales Windows (XP) rein und konfiguriert das schön, dass der Benutzer nicht mehr viel machen kann, außer sich anmelden am Server und das Programm ausführen - losgelöst von USB-Sticks und Internet.

Ich zweifle ja noch immer daran, dass man diesem virtuellen XP beibringen kann mit dem Server im LAN aber nicht mit dem Internet zu kommunizieren. Außerdem finde ich es fraglich, wie man die "virtuelle" Anmeldung macht, denn wenn sich der Nutzer mit seinen Daten anmeldet kann ja auch das Laufwerk in der normalen Anmeldung gemappt werden. Und mit einem speziellen festen Account muss man immer alle VMs wieder anfassen ...

Habt Ihr da irgendwelche Ideen? Ideal wäre es ja, wenn man einen Server hätte, auf den man sich via VNC Client verbinden könnte. Allerdings müsste der viele Clients verwalten können.

Viele Grüße,
CPU
 
viel spaß damit , alle user tanzen dir auf der nase , warum jetzt alles so kompliziert gemacht werden muss...

blockier doch einfach das programm , bzw den port den es beutzt in der firewall weg und gut is...
 
Du hegst die Falschen Zweifel ..

Wenn das Windows nicht weiß wo der Router ist kann es keine Verbindung ins Internet aufbauen ...

Dafür könnte man ein Subnetz einbauen was einen anderen IP Bereich hat und feste IP´s dafür vergeben .
Dann sieht dieses subnetz keinen Router also auch kein Internet .

Problem der USB Ports -> einfach nicht aktivieren in dem Virtuellen Windows .
 
CPU schrieb:
Ich zweifle ja noch immer daran, dass man diesem virtuellen XP beibringen kann mit dem Server im LAN aber nicht mit dem Internet zu kommunizieren.
Genau dafür sind doch Firewalls gemacht. 192.168.0.0/24 zulassen und schon kannst du nur in diesem Subnetz Verbindungen aufbauen.
 
Danke für die Antworten!

Also es müssen schon permanent 20 Benutzer an dem Netzlaufwerk gleichzeitg und auch an ihren eigenen Rechnern arbeiten. Das Programm braucht im Überigen "nicht" drumherum: man verbindet das Netzlaufwerk und klickt dann auf die JAR und dann ließt es die Daten vom Netzlaufwerk und modifiziert diese.

Also müsste man in der VM nur Internetzugriff deaktivieren sowie USB-Medien und dann wäre das doch von der Sicherheit nicht schlecht.

Mir ist schon klar, dass man mit dieser Art von Distributed Security niemals 100%-ige Sicherheit erreichen kann. Allerdings ist es immer noch besser als ohne (wie im Moment).

Gruß,
CPU
 
Gruß

wie schon gesagt wurde ist das durchaus möglich!

z.B.:

Ihr erstellt eine VM mit Windows und Verbindung zum Netzlaufwerk.
Mit einer Firewall (z.B. die Windows eigene) blockiert ihr alle öffentlichen IP Adressen.
Die Verbindung vom Client zur VM könnte per Remotedesktop erfolgen.
Problematisch ist hierbei nur, dass jeder User ein eigenes Benutzerkonto bräuchte, da man sich nicht mehrmals am gleichen Konto anmelden kann. (nach meinem Wissensstand)
Wenn ihr bereits in einer Windows Domäne arbeitet, wäre das kein Problem.
Wenn nicht dann würde das je nach anzahl der Anwender recht viel Aufwand bedeuten.
 
blake15 schrieb:
Ihr erstellt eine VM mit Windows und Verbindung zum Netzlaufwerk.
Mit einer Firewall (z.B. die Windows eigene) blockiert ihr alle öffentlichen IP Adressen.
Die Verbindung vom Client zur VM könnte per Remotedesktop erfolgen.
Problematisch ist hierbei nur, dass jeder User ein eigenes Benutzerkonto bräuchte, da man sich nicht mehrmals am gleichen Konto anmelden kann. (nach meinem Wissensstand)
Wenn ihr bereits in einer Windows Domäne arbeitet, wäre das kein Problem.

Ja, wir arbeiten bereits in einer Windows Domäne mit Windows Server 2007. Allerdings war es jetzt so geplant die VM zu erstellen und dann jedem Benutzer einmal hin zu kopieren.

Es wäre allerdings vieeeel schöner, wenn wir einen zentralen Rechner spendieren könnten, auf dem Windows läuft und auf dem dann mehrere Bentzer gleichzeitig per Remote-Desktop drauf können und dann eine Verbindung mit dem Netzlaufwerk herstellen können. Was braucht man hierfür genau? (Ich dachte, dass man Remote-Desktop nur mit einem Benutzer gleichzeitig machen kann)

Gruß,
CPU
 
CPU schrieb:
Ja, wir arbeiten bereits in einer Windows Domäne mit Windows Server 2007. Allerdings war es jetzt so geplant die VM zu erstellen und dann jedem Benutzer einmal hin zu kopieren.

Es wäre allerdings vieeeel schöner, wenn wir einen zentralen Rechner spendieren könnten, auf dem Windows läuft und auf dem dann mehrere Bentzer gleichzeitig per Remote-Desktop drauf können und dann eine Verbindung mit dem Netzlaufwerk herstellen können. Was braucht man hierfür genau? (Ich dachte, dass man Remote-Desktop nur mit einem Benutzer gleichzeitig machen kann)

Gruß,
CPU

Tut mir leid hatte ich vergessen zu erwähnen,
wenn man mehrere Remote-Desktop Sitzungen an einem System haben will, so braucht man ein Server Betriebssystem.

Wenn ihr einen echten Rechner betreiben wollt, geht das auch.
Da ihr bereits eine Windows Domäne habt, könnt ihr den Zugriff auf das Netzlaufwerk auf diesen einen Rechner beschränken.

Da ihr schon einen Windows Server habt, wäre es auch möglich diesen als "Terminalserver" zu verwenden und die User Verbinden sich per RDP dorthin. Natürlich müssen die Konten dann so abgesichert sein, dass der Nutzer keinen schaden anrichten kann.
Des weiteren sollte der Server genügend Leistungsreserven haben und über eine gute Netzanbindung verfügen.

Die Variante mit einem extra Rechner wäre zwar kostenmäßig aufwendiger, aber insgesamt vielleicht einfacher in der Verwaltung.
 
Zuletzt bearbeitet:
Zurück
Oben