Wie managed ihr eure Homeoffice Notebooks ?

[Pulli]

Hallo zusammen,
wir sind gerade in einer Findungsphase, wie wir am besten unsere Firmennotebooks, welche normalerweise in einer Domain sind, fit für den Parallel-Betrieb im Homeoffice machen können?
Wie kann man sicherstellen, dass diese Notebooks nach mehrwöchigen Gebrauch zu Hause bei Rückkehr ins Firmennetz auch sicher unterwegs waren?
Teilweise arbeiten die User mit Elux (Linux) und schalten sich dann via Browser und Horizon im Firmennetz auf eine VM-Ware Maschine.
Diese Linux Lösung ist aber im Büro bei mehreren Monitoren, Headset und Co. keine so gute Lösung, da die USB PnP Geräte häufiger nicht funktionieren und ständig umgesteckt werden müssen, damit diese dann funktionieren.
Andersrum ist Windows 10 sehr Wartungsintensiv.
Welche Lösungen setzt ihr so ein?
Beste Grüße

 

[Lawnmower]

Den Usern keine lokale Adminrechte geben, VPN Verbindung ins Büro für die sichere Kommunikation.
Ich weiss ja nicht was ihr da treibt, aber warum genau sollten diese Geräte nach mehrwöchigen Einsatz nicht mehr sicher sein? Wenn Notebooks ausserhalb vom Firmen-Netz nicht sicher betrieben werden können, dann macht ihr was falsch den Notebooks sind ja dazu ausserhalb gebraucht zu werden - ob das nun 1 Stunde, 1 Tag oder 1 Monat oder auch länger ist, ist total egal.

Windows 10 wartungsintensiv? Zentral die Updates gemanagt sehe ich da nicht so den Aufwand, bei kleinen Firmen kann man auch die automatische Updates verwenden. Wüsste nicht wo jetzt da gross Aufwand entsteht ausser dass da 1x pro Monat für ein paar Minuten neugestartet wird.

 

[EadZ]

Den Usern keine lokale Adminrechte geben, VPN Verbindung ins Büro für die sichere Kommunikation.

Exakt so funktioniert das bei uns. Dazu noch eine RDP zum Server. Lokal werden wir nur Browser und Teams ausgeführt. Hat auch vor Corona schon so funktioniert. ^^

Bei häufigeren Problemen mit der Peripherie wäre vielleicht der Wechsel auf eine andere Distro in Erwägung zu ziehen, auch wenn das kurzfristig natürlich keine Lösung darstellt.

 

[Pulli]

Die User sollen nicht lokal auf dem Gerät arbeiten, sondern über Horizon. Trotzdem soll das lokale Gerät immer mit Updates für Windows 10 und Virenscanner aktuell bleiben. Lokale Adminrechte bekommen sie bestimmt nicht.

 

[M4ttX]

Besser wär im Normalfall, die Programme nativ laufen zu lassen und mit VPN zu arbeiten.

 

[elefant]

Einziges bedenken wäre, wenn die Geräte in der Domäne sind und länger keinen DC sehen.
Aber dann muss man halt alle halbe Jahr doch mal nen Tag ins Büro

Kann aber auch SSL-VPN oder Citrix empfehlen. Da geht mitlerweile alles mit.

 

[EadZ]

Bzgl. der Update würde ich einfach mal das Wort "Eigenverantwortung" in den Raum werfen. Die Risiken dabei sind mir aber bestens bekannt.

Auf unseren Notebooks sind jedoch auch die Windows Einstellungen extrem beschnitten. Updates werden automatisch geladen (was ich etwas fragwürdig finde) und lassen sich nicht deaktivieren. Auch das Antiviren Programm lädt im Hintergrund Updates. Die zugehörige EXE lässt sich nicht beenden, da auch hierzu die Rechte fehlen.

 

[Pulli]

VPN möchte unser Daten-und Sicherheitsbeauftragte nicht. Wie Elefant es schon anspricht ist, dass die Systeme aktuell bleiben ohne das ein Gerät zurück in die Domain muss. Trotzdem sollen sie in der Domain bleiben.

 

[Lawnmower]

Ja sollte so klappen - die Updates für Windows lokal können ja trotzdem kommen. Es gibt ja z.B. auch die Always On VPN Lösung von Microsoft.
Wenn Du die nötigen Apps zum arbeiten nicht lokal verfügbar machst und nur im Horizon zur Verfügung stehen, werden die Mitarbeiter das zwangsweise so machen müssen.

Ah ja gut wenn so ein Büroheini natürlich das "nicht will", dann hast natürlich ein Problem.

 

[DJMadMax]

Horizon ist ein Muss? Was wäre denn mit dem klassischen Betrieb eines Terminalservers und Clients? Auch hier wird es jedoch wieder auf VPN-Verbindung rauslaufen.

Was genau eure "Daten- und Sicherheitsbeauftragte" für ein Problem mit VPN-Tunneln hat, ist mir jedoch rätselhaft. Wir arbeiten täglich mit hoch sensiblen Daten von hunderttausenden Kunden - ich wüsste gar nicht, wie ich ohne VPN zu Rande kommen würde.

 

[derchris]

Ich verbinde mein Windows 10 Notebook ja ein mal im Monat mit VPN (für eben die Rückmeldung im AD, dass das Gerät noch aktiv ist). Ansonsten nutze ich VMware Horizon Client und arbeite mit meinem virtuellen Desktop im Datacenter.

 

[Pulli]

Horizon ist ein Muss? Was wäre denn mit dem klassischen Betrieb eines Terminalservers und Clients? Auch hier wird es jedoch wieder auf VPN-Verbindung rauslaufen.

Was genau eure "Daten- und Sicherheitsbeauftragte" für ein Problem mit VPN-Tunneln hat, ist mir jedoch rätselhaft. Wir arbeiten täglich mit hoch sensiblen Daten von hunderttausenden Kunden - ich wüsste gar nicht, wie ich ohne VPN zu Rande kommen würde.

Wie ist das denn, wenn du den VPN Tunnel offen hast und du lokal eine Datei hast, die befallen ist? Diese schlägt doch direkt durch den Tunnel im Firmennetz ein oder habe ich da einen Denkfehler?

 

[Lawnmower]

Das Problem hättest Du auch wenn das Notebook im Büro wäre - sehe gerade nicht warum der VPN da der Schuldige sein soll.
Antivirus (zentral gemanagt versteht sich) kann hier helfen. Und den Usern nicht überall Schreibrechte geben.

Bei vielen VPN Gateways kann man bei Bedarf auch zusätzlich Antivirus und weitere Sicherheitsfeatures reinhängen. Oder z.B. auch Regeln definieren dass Clients sich nur verbinden dürfen, wenn ein Antivirus lokal vorhanden und aktuell ist. Bedingt dann natürlich dass die Aktualisierung von Signaturen direkt vom Hersteller kommen und nicht über das VPN, sonst sägt man sich da selber ab.

 

[derchris]

Neben Antivirus läuft hier auf den Kisten noch Zscaler.

 

[DJMadMax]

Unser VPN ermöglicht lediglich die RDP-Verbindung und nichts weiter. Da gibt es aber verschiedene Lösungen.

Das Firmennetzwerk sollte doch sowieso entsprechend geschützt sein, sodass keinerlei der gängigen Gefahren durchgereicht werden können, sprich: Firewall und Virenscanner. Wir nutzen in unserem Fall Kaspersky und als Firewall einen eigenen Proxy sowie eine vom ISP betriebene - also doppelt gemoppelt in dem Fall.

 

[Nexarius]

Lokal eine Datei hast, die befallen ist? Diese schlägt doch direkt durch den Tunnel im Firmennetz ein oder habe ich da einen Denkfehler?

Ja hast Du, der Tunnel macht nichts anderes, als Dich ins Firmennetz einzubinden. Egal wo die befallene Datei liegt. Das Problem hättest Du auch in der Fa.

Dazu in der Fa. einen WSUS Server, der die Updates verteilt. Sehe bei Eurem Einsatz keinerlei Schwirigkeiten, wenn Ihr VPN nutzt

Greets
Nexarius

 

[5clowne]

Neben Antivirus läuft hier auf den Kisten noch Zscaler.

Bei uns auch so, zusätzlich noch Bitlocker auf den Laptops falls die Leute mal wieder ihre Laptops in der UBahn liegen lassen...

 

[Pulli]

Aber ihr arbeitet alle lokal mit Windows 10?

 

[DJMadMax]

Bitlocker wäre für mich beim Laptop ebenfalls ein Muss, schnell eingerichtet und großartige Sicherheit noch vor dem Bootsektor.

In meinem Fall: Windows 10, ja - ich könnte aber auch per Linux oder sonstwas arbeiten. Sofern ich per Remote auf den Terminalserver komme (und das eben - logischerweise - nur per VPN), ist das egal

 

[BlubbsDE]

Eben. VPN ist das Maß der Dinge. Da arbeitet man von zu Hause genauso, wie lokal im Büro. Da muss man keine anderen Verrenkungen machen. Und wenn man es richtig macht, dann macht der Firmenrecchner im Netz rein gar nichts, solange er nicht via VPN im Firmennetz hängt.