Wie kann ich meinen Windows-Host-PC schützen, wenn er zur AD-Domäne des Unternehmens hinzugefügt wird?

Question

Hmm ... Es scheint, als ob es bei Ihnen einige Missverständnisse gibt (von denen ich glaube, dass sie recht häufig vorkommen). Ich möchte einige Einzelheiten erläutern.

Es ist gut, über Kenntnisse zu verfügen, beispielsweise über die technischen Möglichkeiten. Es ist gut zu wissen, welche Vor- und Nachteile bestimmte Entscheidungen haben können. Daher ist es gut zu wissen, welche Auswirkungen die Verwendung einer Variante von Microsoft Windows hat, die die Verwendung des Active Directory-Sicherheitsmodells unterstützt.

Ich weiß, dass das nicht ganz stimmt. Aber ich suche nach einer Möglichkeit, MEINE PRIVATSPHÄRE so gut wie möglich zu SCHÜTZEN;

Eigentlich... ist es wahr.

Wenn Ihr Computer mit dem Netzwerk verbunden ist (was auch bei Verbindung mit VPN der Fall sein kann), hat er normalerweise Fernzugriff auf Ihr C:

Wenn Ihr Computer über die IP-Adresse 192.0.2.150 erreichbar ist, kann er \192.0.2.150\c$ besuchen und alles auf Ihrem C: sehen:

Er weiß möglicherweise: Was sich auf meinem Computer befindet (Betriebssystem, Software, Dateien, Dokumente usw.)

Wie für

welche Websites ich besuche

Sie müssen sich dafür nicht einmal in der Active Directory-Domäne befinden. Wenn Ihr Computer das Netzwerk des Netzwerks verwendet, um Datenverkehr durchzuleiten, kann er die IP-Ziele des ausgehenden Datenverkehrs überprüfen. Wenn Sie ein VPN verwenden, um Datenverkehr durch das Netzwerk laufen zu lassen, müssen Sie nicht einmal vor Ort sein. (Beachten Sie, dass bei manchen VPN-Konfigurationen der gesamte Netzwerkverkehr durch das VPN läuft und bei anderen nicht. Daher verursachen nicht alle VPNs diesen Effekt, wenn Sie sich an einem entfernten Standort befinden. Darüber hinaus kann zumindest einige VPN-Software einige Konfigurationsinformationen vom Router herunterladen; nichts davon hat damit zu tun, ob Sie Teil der Active Directory-Domäne sind oder nicht.)

Ein völlig anderer Ansatz besteht darin, dass Ihr Computer, wenn er den DNS-Server verwendet, sehen kann, welche DNS-Abfragen Sie stellen. Auch hier hat das nichts damit zu tun, ob Sie Teil der Active Directory-Domäne sind oder nicht.

Ob dies normalerweise mit in Windows integrierter Software geschieht, ist eine andere Frage, aber solche Möglichkeiten gibt es definitiv. (Möglicherweise muss er zusätzliche Software erwerben oder Funktionen nutzen, die in einigen der verwendeten Geräte integriert sind.)

Noch schlimmer als nur zu sehen, welche Websites Sie besuchen: Der Netzwerkadministrator kann möglicherweise den Inhalt Ihrer „sicheren“ Webbrowsersitzung sehen. Wenn Sie sich in einer Active Directory-Domäne befinden, kann der Netzwerkadministrator Ihren Computer dazu bringen, bestimmte „Richtlinien“ zu befolgen, einschließlich der Installation eines HTTPS-Zertifikats. Dadurch kann ein HTTPS-Proxy MITM-Spionage des „sicheren“ Webverkehrs durchführen, und Ihr Computer wird den Ergebnissen vertrauen, da Ihr Computer dem HTTPS-Zertifikat des HTTPS-Webproxys vertraut.

Im Gegensatz zu einigen der anderen oben genannten „Bedrohungen“ wird diese tatsächlich recht häufig ausgeführt. (Die Gerätehersteller bewerben diese Funktion nicht als „MITM-Angriff“. Sie bewerben die Funktion als „HTTPS-Proxy“ und/oder als „Deep Packet Inspection“-Funktion („DPI“).)

Wenn Ihr Computer in der Active Directory-Domäne installiert ist, bedeutet dies, dass Ihr Computer den Sicherheitsentscheidungen eines Active Directory-Domänencontrollers vertraut. Dadurch kann Ihr Computer problemlos ein Windows-Konto verwenden, das auf den Active Directory-Domänencontrollern gespeichert ist. Dazu gehört auch, dass Ihr Computer den Domänencontroller auf aktualisierte Gruppenrichtlinieneinstellungen überprüft, die Ihr Computer einhält. Mithilfe von Gruppenrichtlinien kann zusätzliche Software installiert werden. Dies kann beispielsweise gängige kommerzielle Systemüberwachungssoftware umfassen. Dies beinhaltet unbedingt die Möglichkeit, Tastaturprotokollierungssoftware zu installieren. (Hoffentlich wird dies seltener gemacht, aber die Möglichkeit ist definitiv vorhanden.)

Zusamenfassend:

Wenn Sie einen Computer möchten, der gegenüber der Nutzung durch die Außenwelt widerstandsfähig ist, sollten Sie ein ernsthaft gehärtetes Betriebssystem in Betracht ziehen – OpenBSD könnte eine gute Wahl sein.
Wenn Sie einen Computer wünschen, der allgemein als benutzerfreundlich gilt, dann ist das der Hauptgrund, warum viele Leute Microsoft Windows bevorzugen.
Wenn Sie einen Computer wünschen, der sich problemlos in das Firmennetzwerk integrieren lässt und es dem technischen Support des Unternehmens ermöglicht, Änderungen am Computer vorzunehmen, lassen Sie den Computer der Active Directory-Domäne beitreten.

Die Unternehmensrichtlinie kann vorschreiben, dass Sie diese dritte Option nutzen müssen. Ob das Unternehmen eine solche Richtlinie hat, die Sie befolgen müssen, liegt außerhalb des Rahmens einer Diskussion über technische Möglichkeiten. Es könnte wahr sein, dass Siesollendem Unternehmen einen solchen Zugriff gewähren. Unabhängig davon, ob dies der Fall ist oder nicht, bleibt der erste Absatz dieser Antwort wahr.

Soll ich ein neues Windows-Konto speziell für die Arbeit erstellen?

Nicht gut. Der „Domänencomputer“ (ein Computer, der „der Domäne beigetreten ist“) vertraut einem „Domänencontroller“ (das ist ein Name, der für einen „Server“-Computer verwendet wird, der für die Sicherheit im Netzwerk sorgt). Der Domänenadministrator kann einfach die Konten verwenden, denen der Computer vertraut.

sollte ich für dieses Konto spezielle Firewall-Regeln festlegen?

Nicht empfohlen. Sie sind wahrscheinlich nicht schlau genug, um alle Arten von Netzwerkverkehr abzuwehren, die verwendet werden könnten, um in den Computer einzudringen. Und selbst wenn Sie es wären, wäre es schizophren, einerseits zu sagen: „Ich vertraue dem Firmennetzwerk“ (wenn der Computer der Domäne beitritt) und andererseits „Ich vertraue dem Firmennetzwerk nicht“, wenn Sie versuchen, mithilfe der Firewall viele Dinge zu zerstören.

Wenn sich der Computer wie ein vollwertiges Domänenmitglied verhält, kann der Netzwerkadministrator einige Aspekte der integrierten Windows-Firewall steuern.

sollte ich einen Proxy wie Tor oder etwas anderes verwenden?

Ineffektiv. Dies kann dazu beitragen, dass der Netzwerkverkehr verschlüsselt wird, wenn er Ihre Netzwerkkarte verlässt. Dies würde den Domänencomputer jedoch nicht daran hindern, Software auszuführen, die laut Netzwerkadministrator auf dem Domänencomputer ausgeführt werden kann.

Beachten Sie, dass ich nicht sage, dass Sie Tor nicht verwenden sollten. Ich sage nur, dass Sie wissen sollten, was Tor leistet, und nicht das Missverständnis haben sollten, dass es etwas anderes leistet. Tor wurde entwickelt, um den Inhalt des Netzwerkverkehrs zu schützen. Tor wurde nicht entwickelt, um einen autorisierten Administrator daran zu hindern, zu sehen, welche Software auf einem Computer ausgeführt wird oder was diese Software tut. Wenn Sie sich vor dieser Fähigkeit schützen möchten, sage ich lediglich, dass Tor unwirksam wäre und speziell davor keinen Schutz bietet.

usw. ... was könnte ich tun?

Sie können genau das tun, was Sie getan haben: Fragen stellen und sich informieren. Kurz gesagt, die Lösung zum Schutz der Privatsphäre besteht darin, den Computer nicht der Active Directory-Domäne beizutreten. Wenn Sie für bestimmte Dinge, wie den Zugriff auf Dateien, einen Computer der Active Directory-Domäne beitreten lassen müssen, verwenden Sie für Ihre „privateren“ Aktivitäten einen anderen Computer (der nicht der Active Directory-Domäne beigetreten ist).

(Auch wenn Sie Ihr eigenes Gerät verwenden, sollten Sie wissen, dass die Netzbetreiber einige Aspekte sehen können, z. B. welche Internetseiten Sie aufrufen. Wenn Sie das Netzwerk Ihres Unternehmens verwenden, bedeutet das, dass der Netzbetreiber des Unternehmens dies sehen kann. Wenn Ihr Gerät eine Methode verwendet, um direkt mit den Sendemasten eines Mobilfunkanbieters zu kommunizieren, dann ist es der Mobilfunkanbieter, der diese Fähigkeit besitzt. Übrigens ist das Internet ein riesiges Netzwerk von Computernetzwerken. Die Möglichkeit, einige Details Ihres Netzwerkverkehrs zu überprüfen/protokollieren, wie z. B. die Ziel-IP-Adresse, ist etwas, das von den Netzbetreibern Ihres Unternehmens bereitgestellt werden kann.beliebigComputernetzwerk, das letztendlich für die Funktionsfähigkeit Ihrer Internetkommunikation verantwortlich ist, nicht notwendigerweise nur der erste Hop.)

Ich habe einen Windows 7-PC mit Avast Free Antivirus und standardmäßiger Windows-Firewall.

Bedenken Sie, dass die meisten Antiviren-Unternehmen ihr Produkt an Personen verkaufen möchten, die Unternehmensnetzwerke betreiben. Daher werden die Antiviren-Unternehmen in der RegelerlaubenNetzwerkadministratoren haben Zugriff auf Dinge wie das, was Sie privat halten möchten. Das liegt daran, dass die Software, die Netzwerkbetreibern einen solchen Zugriff ermöglicht, normalerweise rechtmäßig ist.autorisiert, und daher ist es wahrscheinlich, dass Antivirensoftware dieser Software erlaubt, die Aufgaben ohne Störungen auszuführen. Wenn Antivirensoftware fälschlicherweise beginnt, solche Aufgaben zu blockieren, erhält sie schnell eine große Anzahl von Beschwerden von Netzwerkadministratoren, die behaupten, dass die Antivirensoftware kritische Funktionen unterbricht, und der Hersteller der Antivirensoftware arbeitet schnell daran, diesen „Fehler“ zu beheben.

Answer 1

Hmm ... Es scheint, als ob es bei Ihnen einige Missverständnisse gibt (von denen ich glaube, dass sie recht häufig vorkommen). Ich möchte einige Einzelheiten erläutern.

Es ist gut, über Kenntnisse zu verfügen, beispielsweise über die technischen Möglichkeiten. Es ist gut zu wissen, welche Vor- und Nachteile bestimmte Entscheidungen haben können. Daher ist es gut zu wissen, welche Auswirkungen die Verwendung einer Variante von Microsoft Windows hat, die die Verwendung des Active Directory-Sicherheitsmodells unterstützt.

Ich weiß, dass das nicht ganz stimmt. Aber ich suche nach einer Möglichkeit, MEINE PRIVATSPHÄRE so gut wie möglich zu SCHÜTZEN;

Eigentlich... ist es wahr.

Wenn Ihr Computer mit dem Netzwerk verbunden ist (was auch bei Verbindung mit VPN der Fall sein kann), hat er normalerweise Fernzugriff auf Ihr C:

Wenn Ihr Computer über die IP-Adresse 192.0.2.150 erreichbar ist, kann er \192.0.2.150\c$ besuchen und alles auf Ihrem C: sehen:

Er weiß möglicherweise: Was sich auf meinem Computer befindet (Betriebssystem, Software, Dateien, Dokumente usw.)

Wie für

welche Websites ich besuche

Sie müssen sich dafür nicht einmal in der Active Directory-Domäne befinden. Wenn Ihr Computer das Netzwerk des Netzwerks verwendet, um Datenverkehr durchzuleiten, kann er die IP-Ziele des ausgehenden Datenverkehrs überprüfen. Wenn Sie ein VPN verwenden, um Datenverkehr durch das Netzwerk laufen zu lassen, müssen Sie nicht einmal vor Ort sein. (Beachten Sie, dass bei manchen VPN-Konfigurationen der gesamte Netzwerkverkehr durch das VPN läuft und bei anderen nicht. Daher verursachen nicht alle VPNs diesen Effekt, wenn Sie sich an einem entfernten Standort befinden. Darüber hinaus kann zumindest einige VPN-Software einige Konfigurationsinformationen vom Router herunterladen; nichts davon hat damit zu tun, ob Sie Teil der Active Directory-Domäne sind oder nicht.)

Ein völlig anderer Ansatz besteht darin, dass Ihr Computer, wenn er den DNS-Server verwendet, sehen kann, welche DNS-Abfragen Sie stellen. Auch hier hat das nichts damit zu tun, ob Sie Teil der Active Directory-Domäne sind oder nicht.

Ob dies normalerweise mit in Windows integrierter Software geschieht, ist eine andere Frage, aber solche Möglichkeiten gibt es definitiv. (Möglicherweise muss er zusätzliche Software erwerben oder Funktionen nutzen, die in einigen der verwendeten Geräte integriert sind.)

Noch schlimmer als nur zu sehen, welche Websites Sie besuchen: Der Netzwerkadministrator kann möglicherweise den Inhalt Ihrer „sicheren“ Webbrowsersitzung sehen. Wenn Sie sich in einer Active Directory-Domäne befinden, kann der Netzwerkadministrator Ihren Computer dazu bringen, bestimmte „Richtlinien“ zu befolgen, einschließlich der Installation eines HTTPS-Zertifikats. Dadurch kann ein HTTPS-Proxy MITM-Spionage des „sicheren“ Webverkehrs durchführen, und Ihr Computer wird den Ergebnissen vertrauen, da Ihr Computer dem HTTPS-Zertifikat des HTTPS-Webproxys vertraut.

Im Gegensatz zu einigen der anderen oben genannten „Bedrohungen“ wird diese tatsächlich recht häufig ausgeführt. (Die Gerätehersteller bewerben diese Funktion nicht als „MITM-Angriff“. Sie bewerben die Funktion als „HTTPS-Proxy“ und/oder als „Deep Packet Inspection“-Funktion („DPI“).)

Wenn Ihr Computer in der Active Directory-Domäne installiert ist, bedeutet dies, dass Ihr Computer den Sicherheitsentscheidungen eines Active Directory-Domänencontrollers vertraut. Dadurch kann Ihr Computer problemlos ein Windows-Konto verwenden, das auf den Active Directory-Domänencontrollern gespeichert ist. Dazu gehört auch, dass Ihr Computer den Domänencontroller auf aktualisierte Gruppenrichtlinieneinstellungen überprüft, die Ihr Computer einhält. Mithilfe von Gruppenrichtlinien kann zusätzliche Software installiert werden. Dies kann beispielsweise gängige kommerzielle Systemüberwachungssoftware umfassen. Dies beinhaltet unbedingt die Möglichkeit, Tastaturprotokollierungssoftware zu installieren. (Hoffentlich wird dies seltener gemacht, aber die Möglichkeit ist definitiv vorhanden.)

Zusamenfassend:

Wenn Sie einen Computer möchten, der gegenüber der Nutzung durch die Außenwelt widerstandsfähig ist, sollten Sie ein ernsthaft gehärtetes Betriebssystem in Betracht ziehen – OpenBSD könnte eine gute Wahl sein.
Wenn Sie einen Computer wünschen, der allgemein als benutzerfreundlich gilt, dann ist das der Hauptgrund, warum viele Leute Microsoft Windows bevorzugen.
Wenn Sie einen Computer wünschen, der sich problemlos in das Firmennetzwerk integrieren lässt und es dem technischen Support des Unternehmens ermöglicht, Änderungen am Computer vorzunehmen, lassen Sie den Computer der Active Directory-Domäne beitreten.

Die Unternehmensrichtlinie kann vorschreiben, dass Sie diese dritte Option nutzen müssen. Ob das Unternehmen eine solche Richtlinie hat, die Sie befolgen müssen, liegt außerhalb des Rahmens einer Diskussion über technische Möglichkeiten. Es könnte wahr sein, dass Siesollendem Unternehmen einen solchen Zugriff gewähren. Unabhängig davon, ob dies der Fall ist oder nicht, bleibt der erste Absatz dieser Antwort wahr.

Soll ich ein neues Windows-Konto speziell für die Arbeit erstellen?

Nicht gut. Der „Domänencomputer“ (ein Computer, der „der Domäne beigetreten ist“) vertraut einem „Domänencontroller“ (das ist ein Name, der für einen „Server“-Computer verwendet wird, der für die Sicherheit im Netzwerk sorgt). Der Domänenadministrator kann einfach die Konten verwenden, denen der Computer vertraut.

sollte ich für dieses Konto spezielle Firewall-Regeln festlegen?

Nicht empfohlen. Sie sind wahrscheinlich nicht schlau genug, um alle Arten von Netzwerkverkehr abzuwehren, die verwendet werden könnten, um in den Computer einzudringen. Und selbst wenn Sie es wären, wäre es schizophren, einerseits zu sagen: „Ich vertraue dem Firmennetzwerk“ (wenn der Computer der Domäne beitritt) und andererseits „Ich vertraue dem Firmennetzwerk nicht“, wenn Sie versuchen, mithilfe der Firewall viele Dinge zu zerstören.

Wenn sich der Computer wie ein vollwertiges Domänenmitglied verhält, kann der Netzwerkadministrator einige Aspekte der integrierten Windows-Firewall steuern.

sollte ich einen Proxy wie Tor oder etwas anderes verwenden?

Ineffektiv. Dies kann dazu beitragen, dass der Netzwerkverkehr verschlüsselt wird, wenn er Ihre Netzwerkkarte verlässt. Dies würde den Domänencomputer jedoch nicht daran hindern, Software auszuführen, die laut Netzwerkadministrator auf dem Domänencomputer ausgeführt werden kann.

Beachten Sie, dass ich nicht sage, dass Sie Tor nicht verwenden sollten. Ich sage nur, dass Sie wissen sollten, was Tor leistet, und nicht das Missverständnis haben sollten, dass es etwas anderes leistet. Tor wurde entwickelt, um den Inhalt des Netzwerkverkehrs zu schützen. Tor wurde nicht entwickelt, um einen autorisierten Administrator daran zu hindern, zu sehen, welche Software auf einem Computer ausgeführt wird oder was diese Software tut. Wenn Sie sich vor dieser Fähigkeit schützen möchten, sage ich lediglich, dass Tor unwirksam wäre und speziell davor keinen Schutz bietet.

usw. ... was könnte ich tun?

Sie können genau das tun, was Sie getan haben: Fragen stellen und sich informieren. Kurz gesagt, die Lösung zum Schutz der Privatsphäre besteht darin, den Computer nicht der Active Directory-Domäne beizutreten. Wenn Sie für bestimmte Dinge, wie den Zugriff auf Dateien, einen Computer der Active Directory-Domäne beitreten lassen müssen, verwenden Sie für Ihre „privateren“ Aktivitäten einen anderen Computer (der nicht der Active Directory-Domäne beigetreten ist).

(Auch wenn Sie Ihr eigenes Gerät verwenden, sollten Sie wissen, dass die Netzbetreiber einige Aspekte sehen können, z. B. welche Internetseiten Sie aufrufen. Wenn Sie das Netzwerk Ihres Unternehmens verwenden, bedeutet das, dass der Netzbetreiber des Unternehmens dies sehen kann. Wenn Ihr Gerät eine Methode verwendet, um direkt mit den Sendemasten eines Mobilfunkanbieters zu kommunizieren, dann ist es der Mobilfunkanbieter, der diese Fähigkeit besitzt. Übrigens ist das Internet ein riesiges Netzwerk von Computernetzwerken. Die Möglichkeit, einige Details Ihres Netzwerkverkehrs zu überprüfen/protokollieren, wie z. B. die Ziel-IP-Adresse, ist etwas, das von den Netzbetreibern Ihres Unternehmens bereitgestellt werden kann.beliebigComputernetzwerk, das letztendlich für die Funktionsfähigkeit Ihrer Internetkommunikation verantwortlich ist, nicht notwendigerweise nur der erste Hop.)

Ich habe einen Windows 7-PC mit Avast Free Antivirus und standardmäßiger Windows-Firewall.

Bedenken Sie, dass die meisten Antiviren-Unternehmen ihr Produkt an Personen verkaufen möchten, die Unternehmensnetzwerke betreiben. Daher werden die Antiviren-Unternehmen in der RegelerlaubenNetzwerkadministratoren haben Zugriff auf Dinge wie das, was Sie privat halten möchten. Das liegt daran, dass die Software, die Netzwerkbetreibern einen solchen Zugriff ermöglicht, normalerweise rechtmäßig ist.autorisiert, und daher ist es wahrscheinlich, dass Antivirensoftware dieser Software erlaubt, die Aufgaben ohne Störungen auszuführen. Wenn Antivirensoftware fälschlicherweise beginnt, solche Aufgaben zu blockieren, erhält sie schnell eine große Anzahl von Beschwerden von Netzwerkadministratoren, die behaupten, dass die Antivirensoftware kritische Funktionen unterbricht, und der Hersteller der Antivirensoftware arbeitet schnell daran, diesen „Fehler“ zu beheben.

Wie kann ich meinen Windows-Host-PC schützen, wenn er zur AD-Domäne des Unternehmens hinzugefügt wird?

Antwort1

verwandte Informationen