Ik werk voor een klein bedrijf (6 medewerkers) en met enige regelmaat zijn er stagiaires of klanten die een laptop moeten gebruiken. Onlangs wat gedoe gehad met datadiefstal en nu willen we een eerstelijns beveiliging inzetten.
Ieder van de 6 medewerkers heeft een eigen laptop of desktop, daar is geen extra beveiliging nodig. Voor klanten/stagiaires hebben wij 6 flexplekken waar bepaalde webadressen geblokkeerd moeten worden. Denk aan webmail, bepaalde sociale netwerken, cloud opslag.
Bijkomend complex deel is dat een stagiair HBO marketing wel op facebook/instagram/linkedin moet kunnen gaan, maar een stagiair VMBO techniek moet dat juist niet kunnen. En een klant heeft toegang nodig tot bepaalde bestanden die lokaal op de laptop staan, maar mag deze alleen kunnen openen en niet wegschrijven naar USB stick en/of cloud/webmail.
Met de Group policy editor kan de toegang tot verwisselbare schijven (USB sticks) alvast uitgeschakeld worden.
Ik heb een regel aangemaakt voor uitgaand verkeer in de Windows defender firewall en daar de IP-adressen (bereik) van facebook/instagram/gmail/outlook/hotmail etc in gezet. Dat werkt goed genoeg (voor dit moment).
Probleem is echter dat een firewall regel voor elke gebruiker 1:1 toegepast wordt, zelfs voor admins. Ook als ik een admin als uitzondering aanwijs, dan wordt dat niet gebruikt.
In de group policy editor heb ik niets veranderd voor de defender firewall, daar kun je nog overkoepelende instellingen doen voor de firewall maar dat ga ik niet gebruiken (althans zie niet welke instelling iets voor mij kan betekenen).
Kort samengevat:
- Per systeem 4 verschillende gebruikers
- Admin: volledige toegang
- Stagiair 1: geen toegang tot sociale netwerken en clouddiensten. USB stick niet toegestaan
- Stagiair 2: wel toegang tot sociale netwerken en clouddiensten. USB stick toegestaan
- Klant: wel toegang tot sociale netwerken. geen toegang tot clouddiensten. USB stick niet toegestaan
Kan dit met de standaard defender firewall? Indien niet, welke firewall zou dit wel kunnen? Tinywall al gezien, maar wordt mij niet duidelijk of deze instellingen heeft per gebruiker.
Ik begrijp dat er beter iets in het netwerk geregeld zou moeten worden, echter gaan er ook wel laptops mee maar klantlocaties voor het afnemen van examens. Dan zou de beveiliging er weer vanaf zijn, wat niet de bedoeling is uiteraard. Idem voor het euvele geval waar iemand een laptop aan een eigen hotspot gaat knopen. Toegang op je telefoon aanzetten en tijdens het examen heb je alsnog cloud toegang om informatie vanaf het systeem door te spelen. (tijdens examens moet kostbare informatie in een pdf document gebruikt worden, kan helaas niet anders)
Ieder van de 6 medewerkers heeft een eigen laptop of desktop, daar is geen extra beveiliging nodig. Voor klanten/stagiaires hebben wij 6 flexplekken waar bepaalde webadressen geblokkeerd moeten worden. Denk aan webmail, bepaalde sociale netwerken, cloud opslag.
Bijkomend complex deel is dat een stagiair HBO marketing wel op facebook/instagram/linkedin moet kunnen gaan, maar een stagiair VMBO techniek moet dat juist niet kunnen. En een klant heeft toegang nodig tot bepaalde bestanden die lokaal op de laptop staan, maar mag deze alleen kunnen openen en niet wegschrijven naar USB stick en/of cloud/webmail.
Met de Group policy editor kan de toegang tot verwisselbare schijven (USB sticks) alvast uitgeschakeld worden.
Ik heb een regel aangemaakt voor uitgaand verkeer in de Windows defender firewall en daar de IP-adressen (bereik) van facebook/instagram/gmail/outlook/hotmail etc in gezet. Dat werkt goed genoeg (voor dit moment).
Probleem is echter dat een firewall regel voor elke gebruiker 1:1 toegepast wordt, zelfs voor admins. Ook als ik een admin als uitzondering aanwijs, dan wordt dat niet gebruikt.
In de group policy editor heb ik niets veranderd voor de defender firewall, daar kun je nog overkoepelende instellingen doen voor de firewall maar dat ga ik niet gebruiken (althans zie niet welke instelling iets voor mij kan betekenen).
Kort samengevat:
- Per systeem 4 verschillende gebruikers
- Admin: volledige toegang
- Stagiair 1: geen toegang tot sociale netwerken en clouddiensten. USB stick niet toegestaan
- Stagiair 2: wel toegang tot sociale netwerken en clouddiensten. USB stick toegestaan
- Klant: wel toegang tot sociale netwerken. geen toegang tot clouddiensten. USB stick niet toegestaan
Kan dit met de standaard defender firewall? Indien niet, welke firewall zou dit wel kunnen? Tinywall al gezien, maar wordt mij niet duidelijk of deze instellingen heeft per gebruiker.
Ik begrijp dat er beter iets in het netwerk geregeld zou moeten worden, echter gaan er ook wel laptops mee maar klantlocaties voor het afnemen van examens. Dan zou de beveiliging er weer vanaf zijn, wat niet de bedoeling is uiteraard. Idem voor het euvele geval waar iemand een laptop aan een eigen hotspot gaat knopen. Toegang op je telefoon aanzetten en tijdens het examen heb je alsnog cloud toegang om informatie vanaf het systeem door te spelen. (tijdens examens moet kostbare informatie in een pdf document gebruikt worden, kan helaas niet anders)
/u/799965/crop57a058e143ac6.png?f=community)
:strip_icc():strip_exif()/u/44964/crop5ddd7e78872f0_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community)
/u/231803/ramdisk2.png?f=community)
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)