---

Vi overvejer hvordan vi sikrest giver vores konsulenter adgang til vores
netværk, uden at de kan "tage data med" som de f.eks. kan med remote
desktop.

Hvad bruger i ude i det danske land?

---

Den Tue, 2 Jan 2007 20:55:25 +0100 skrev Nicolai:
> Vi overvejer hvordan vi sikrest giver vores konsulenter adgang til vores
> netværk, uden at de kan "tage data med" som de f.eks. kan med remote
> desktop.

Adgang til et separat system, hvor de ting de har brug for kan kopieres
over og tilbage igen.

Medmindre de kan nøjes med så få rettigheder, at i simpelthen kan
lade være med at give dem adgang til data.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Nicolai forklarede:
> Vi overvejer hvordan vi sikrest giver vores konsulenter adgang til vores
> netværk, uden at de kan "tage data med" som de f.eks. kan med remote desktop.
>
> Hvad bruger i ude i det danske land?

Kommer an på, hvad "konsulenter" er. Salgs- eller IT-ditto?
Jeg overdrager ikke opgaver til IT-konsulenter jeg ikke stoler på, så
de har fuld adgang. Andre konsulenter bruger vi ikke. Ellers ligner det
en decideret terminalserver løsning I skulle bruge.
Man kan iøvrigt ikke tage data med via remote desktop, eller kan man?
Jørgen

---

Jeg arbejder selv som IT-konsulent og vi har VPN adgang til vores kunder med
fuld adgang til alt.

Det handler vel om at du vælger at bruge en konsulent som du tør stole på.

"..::JMJ::.." <kaliffen@privat.dk> skrev i en meddelelse
news:mn.1b827d715d930ad1.64363@privat.dk...
> Nicolai forklarede:
>> Vi overvejer hvordan vi sikrest giver vores konsulenter adgang til vores
>> netværk, uden at de kan "tage data med" som de f.eks. kan med remote
>> desktop.
>>
>> Hvad bruger i ude i det danske land?
>
> Kommer an på, hvad "konsulenter" er. Salgs- eller IT-ditto?
> Jeg overdrager ikke opgaver til IT-konsulenter jeg ikke stoler på, så de
> har fuld adgang. Andre konsulenter bruger vi ikke. Ellers ligner det en
> decideret terminalserver løsning I skulle bruge.
> Man kan iøvrigt ikke tage data med via remote desktop, eller kan man?
> Jørgen
>
>

---

> Det handler vel om at du vælger at bruge en konsulent som du tør stole på.

Naturligvis stoler vi på dem, men er der ikke en "perfekt" måde at gøre det
på?

---

On 2007-01-03, Nicolai <spam2005@nifo.dk> wrote:

>> Det handler vel om at du vælger at bruge en konsulent som du tør stole på.
>
> Naturligvis stoler vi på dem, men er der ikke en "perfekt" måde at gøre det
> på?

Nej, hvis jeres konsulenter skal have adgang til dataene, har de også
adgang til at tage dem med sig. Om ikke andet ved at læse dem fra
skærmen og skrive dem ned ved siden af.

--
Andreas

---

Den Wed, 03 Jan 2007 14:58:02 +0100 skrev . . : : JMJ : : . .:
> Nicolai forklarede:
>> Vi overvejer hvordan vi sikrest giver vores konsulenter adgang til vores
>> netværk, uden at de kan "tage data med" som de f.eks. kan med remote desktop.
>>
>> Hvad bruger i ude i det danske land?
>
> Kommer an på, hvad "konsulenter" er. Salgs- eller IT-ditto?
> Jeg overdrager ikke opgaver til IT-konsulenter jeg ikke stoler på, så
> de har fuld adgang. Andre konsulenter bruger vi ikke. Ellers ligner det
> en decideret terminalserver løsning I skulle bruge.
> Man kan iøvrigt ikke tage data med via remote desktop, eller kan man?

Som minimum kan man læse data, eller tage et screenshot. Hvorvidt det
er en trussel, afhænger af data'ene.

(Hvis det fx er dankortnumre, udløbsdatoer og kontrolcifre, er blot
et enkelt par skrevet af i hånden et alvorligt problem).

Derudover har Terminal Services mulighed for at dele drev, printere
m.m, men det er muligt disse features kan slås fra.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

> Derudover har Terminal Services mulighed for at dele drev, printere
> m.m, men det er muligt disse features kan slås fra.

Det kan de formentlig - men de kan vel også slåes til igen når en konsulent
har admin-adgang. Og der er vores problem.

Det vi er mest bekymrede for er egentligt at virus mm kan spredes udefra og
ind når konsulenterne går ind.

---

Den Wed, 3 Jan 2007 19:25:42 +0100 skrev Nicolai:
>> Derudover har Terminal Services mulighed for at dele drev, printere
>> m.m, men det er muligt disse features kan slås fra.
>
> Det kan de formentlig - men de kan vel også slåes til igen når en konsulent
> har admin-adgang. Og der er vores problem.

Hvis han har administrator adgang, kan du formentlig[1] glemme alt om
at sikre systemet. Administrator er jo den der *bestemmer* hvem der
må hvad, og kan altid[1] give sig selv lov.

Mvh
Kent

[1] Jeg er ikke lige sikker på hvor meget domain admin kan begrænse
lokal admin i et active directory setup.
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis skrev:

> [1] Jeg er ikke lige sikker på hvor meget domain admin kan begrænse
> lokal admin i et active directory setup.

Hvis maskinen er medlem af AD er der ikke noget til hinder for at kun-
ne begrænse konsulentens maskine.

Den løsning hvor man nok får mest smæk for skillingen er nok at op-
sætte en arbejdsplads og brugerkonto til konsulenten og så kun give
brugerkontoe de nødvendige rettigheder som opgaven kræver.

Der hvor jeg arbejder får konsulenterne udleveret en RSA-Token,
brugernavn og adgang gennem Citrix Web Interface, lokale drev bliver
ikke tilsluttet. Når jobbet er udført bliver RSA-Token inddraget og
brugerkontoen deaktiveret.

Vi er ved indføre en model hvor konsulenter ikke får adgang til ud-
styret, og heller ikke må tilslutte deres eget udstyr, men udfører
opgaven sammen med en ansat som sidder ved tasterne.