Ratgeber: Sicherheit
Damit Anwender im Netzwerk nichts anrichten
Wir zeigen, welche Möglichkeiten die Administratoren haben, die Tätigkeiten der "normalen" Anwender sinnvoll zu kontrollieren und wo die Grenzen dieser Kontrolltätigkeit liegen.
- Damit Anwender im Netzwerk nichts anrichten
- Gruppenrichtlinien
Jede Firma, jedes Büro besitzt heute ein gewisses Maß an IT-Ausstattung. Deshalb gibt es schon bei kleineren und mittleren Betrieben entsprechend verantwortliche Mitarbeiter, die für das Funktionieren der IT verantwortlich sind. Ebenso wie hauptberufliche IT-Administratoren, die große Firmennetzwerke betreuen, stehen sie immer wieder vor der Problematik, dass sie eine Mitverantwortung dafür tragen, was auf den Systemen der Anwender passiert.
Allerdings werden die anderen Angestellten in der Regel nicht davon begeistert sein, dass ihre Tätigkeit unter permanenter Überwachung steht. In Deutschland kann das auch arbeitsrechtliche Konsequenzen haben, wenn Anwender ohne ihr Wissen überwacht und kontrolliert werden.
Was soll kontrolliert werden?
Was soll der Administrator kontrollieren, dass er die Anwender nicht übermäßig belästigt oder gar ausspioniert, aber trotzdem die wichtigsten Eckpunkte der Systeme immer im Griff behält? Zu den grundsätzlichen Dingen, gehören die folgenden Bereiche:
- An- und Abmeldevorgänge an den Systemen (Wer meldet sich wo und wie oft an, wo gibt es beispielsweise häufig Fehlanmeldungen?)
- Welche Anwendungen kommen auf den Systemen zum Einsatz? (Welche Programme sind grundsätzlich auf den Firmen-PCs erlaubt und wer darf sie installieren?)
- Welche Verbindungen bauen Anwender zum Internet auf? (Welche Seiten besuchen sie? Laden sie riskante Dateien herunter?)
Finger weg von Spionage-Tools
Der erste Gedanke besteht dann häufig darin, auf den Systemen der Anwender eine spezielle Software zu installieren, die automatisch alle Tätigkeiten auf den entsprechenden Rechnern protokollieren und die Protokolle dann direkt an den Administrator versenden. Vorrangig amerikanische Anbieter preisen solche Programme euphemistisch als Monitor-Programme oder auch ganz offen als Spy-Tool an. IT-Profis werden sich von diesen Umschreibungen aber kaum täuschen lassen.
Bei diesen Programmen handelt es sich um Anwendungen, die wie die bei Hackern und Datendieben beliebten Keylogger-Programme funktionieren. Mit Hilfe eines Keyloggers können alle Tastatureingaben und häufig auch andere Dinge wie besuchte Webseiten aufgezeichnet und dann entweder gespeichert oder gleich an den Initiator des Programms weitergeleitet werden.
Ratgeber: So richten Sie ein Heimnetzwerk ein
Aus diesem Grund verlangen die meisten der Überwachungs-Software-Tools für ihre Installation auch das Abschalten der Antivirus- und Anti-Spyware-Programme, da diese sie nicht zu Unrecht in die Kategorie der Schad-Software einreihen.
Auch wenn diese Programme von den Herstellern als ideale Überwachungsmaßnahme angepriesen und in den USA (wo Arbeitnehmer vor solchen Spionageangriffen seitens der Firmenleitung nicht durch das Gesetz geschützt sind) häufig zum Einsatz kommen, raten wir dringend vom Einsatz dieser Lösungen ab:
Letztendlich kann sich niemand wirklich sicher sein, ob der Anbieter solcher Programme wirklich keine zusätzliche Software installiert, die seinen eigenen Zwecken dient. In der Regel werden bereits freie Lösungen wie der Free Keylogger durch Antivirus-Programme erkannt und entsprechend behandelt.
Kommerzielle Programme, wie der so genannte PC-Agent, zeigen schnell ein weiteres Problem der Schnüffellösungen: Sie produzieren einen Berg an Daten, den niemand auswerten kann. Ein Administrator wird weder Zeit noch Interesse daran haben, jeden Mausklick zu protokollieren. Zudem sei in diesem Zusammenhang noch einmal auf rechtlichen Konsequenzen beim Einsatz dieser Art von Spionage-Tools hingewiesen.
Bordmittel, gute Konfigurationen und ein Proxy
Systembetreuer, die in größeren, aber auch in mittleren Umgebungen arbeiten, sollten auf jeden Fall die entsprechenden Gruppenrichtlinien einsetzen, die ihnen von den Windows-Systemen angeboten werden. Dabei gilt für die meisten Systemverwalter zumeist der folgende Grundsatz: Es liegt nicht in ihrem Interesse, den Anwender und seinen Desktop permanent zu überwachen.
Aber die Systemverantwortlichen möchten sicherstellen, dass dem Nutzer nach der Anmeldung alle Ressourcen zur Verfügung stehen, die er für seine Arbeit braucht. Dazu gehören die zur Verfügung stehenden Standard-Drucker ebenso wie die freigegebenen Laufwerke (Shares) auf den Servern der Firma.
Deshalb werden die Systemverwalter ihre Systeme so konfigurieren, dass ganz gleich welche Einstellungen oder Standardprogramme der Nutzer verbiegt, bei der nächsten Anmeldung des Anwenders der ursprüngliche Zustand wiederhergestellt ist, und dieser wieder auf alle Ressourcen zugreifen kann. Dies kann dann sowohl mit Hilfe entsprechender Anmelde-Skripte als auch unter Einsatz der Gruppenrichtlinien geschehen.
In vielen Firmen werden mit Hilfe der Gruppenrichtlinien auch bestimmte Einstellungen in der Systemsteuerung für die Nutzer deaktiviert oder es wird auf diese Weise der Zugriff auf externe Medien gleich komplett unterbunden. Ein sehr gutes Beispiel dafür sind auch die Einstellungen des Standard-Browsers Internet Explorer: Auch sie können mit Hilfe der Gruppenrichtlinien entsprechend angepasst werden.
So legen die Systemverantwortlichen im Editor für lokale Gruppenrichtlinien unter dem Pfad Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer Wartung/URLs/Wichtige URLs beispielsweise die Startseite für den Browser fest: Hier kann dann die eigene Intranet- oder SharePoint-Seite eingetragen werden, um die Nutzer gleich in die richtigen Bahnen zu lenken. Unter dem Zweig Verbindung ist es zudem möglich, für den Einsatz des Internet Explorers einen Proxy-Server einzutragen und somit das Surfen der Nutzer in geordnete Bahnen zu lenken, beziehungsweise im Überblick zu behalten.
Gerade durch den Einsatz eines Proxy-Servers, der mittels der Gruppenrichtlinie so konfiguriert wird, dass alle Anwender nur über diesen Server ins Internet gelangen, kann ein Systemverwalter leicht die Internet- und Surf-Aktivitäten seine Anwender im Blick behalten. Zudem kann mit Hilfe solcher Lösungen festgelegt werden, welche Seiten (etwa Webseiten mit Online-Spielen oder Shopping-Portale) von den Firmenrechnern aus nicht angesteuert werden sollen.
