Gå til innhold

Oppsett server Windows 2008

Trikrin

Av Trikrin
i Datamaskiner

Anbefalte innlegg

Trikrin

Trikrin

Skrevet
Skrevet

Hei!

 

Har en Windows server 2008 som jeg skal installere opp til lærere og elever.

 

I dag er det ikke noen server på nettet, og de er separert av the great divide, nemlig vlan-segment.

 

Men nå skal elever og lærere begynne å bruke en server. Hva er best practice for å separere lærere og elever på denne serveren, for å gjøre dette tryggest mulig?

 

Er det noen erfaringer / meninger om dette?

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
HilRam

HilRam

Skrevet
Skrevet (endret)

Ved hjelp av helt vanlige Security Groups burde ikke dette bli et stort problem. Du oppretter f.eks. Elever-grp og Laerere-grp

 

På fellesområdet for lærere (der elever ikke skal ha tilgang) setter du deny-permission på elever-grp.

(Regner med at ingen av elevene har administrative rettigheter til noe som helst, og dermed kan gå inn og endre dette.)

 

For å hindre IP-sniffing, aktiverer du IP-Sec mellom lærernes maskiner og serveren.

 

-HilRam

 

EDIT: Det største sikkerhetsproblemet i et skole-scenario er som regel halvsenile lærere som skriver passordet sitt på gule lapper, og fester det på skjermen, under tastaturet, eller i permen på filofaxen....

Endret av HilRam
Lenke til kommentar
NikkaYoichi

NikkaYoichi

Skrevet
Skrevet

Jeg tror det første du bør gjøre, slik jeg forstår det ut fra det du skriver, er å ta deg et kurs i Windows 2008 server. Men for å gi en kort forklaring så er følgende aktuelt.

 

Du har i dag segmentert nettene med vlan, det betyr i praksis, hvis du har satt det opp riktig, at de nettene ikke kan kommunisere med hverandre. Serveren kan selvsagt prate på begge nettene, da den har tillatelse til det. Elever og lærere ligger naturligvis i samme AD og rettighetene styres vha group policy, ntfs, security osv. No problemo.

Lenke til kommentar
Trikrin

Trikrin

Skrevet
  • Forfatter
Skrevet

Så du anbefaler altså å ta et Windows server 2008-kurs. Takk for den...

 

Regner med det var ikke like godt ment som det var skrevet.

 

Har hatt inngående diskusjoner med datatilsynet om hva jeg skal gjøre, og det å ha elever / lærere på samme server og AD, er ikke anbefalt, da dette ikke er sikkert nok.

 

Det jeg ser for meg å gjøre da, for å følge alle anbefalte krav er følgende:

 

En plain Windows server 2008 installasjon med 2 virtuelle servere. En for elever og en for lærere. Da vil de kunne være adskilt på AD, vlan, og alt hjertet begjærer.

 

Noen innvendinger?

Lenke til kommentar
CrZy_T

CrZy_T

Skrevet
Skrevet

En plain Windows server 2008 installasjon med 2 virtuelle servere. En for elever og en for lærere. Da vil de kunne være adskilt på AD, vlan, og alt hjertet begjærer.

 

Noen innvendinger?

Et par ting du bør tenke igjennom:

 

* Skal en lærer kunne logge på "elevmaskiner" og "lærermaskiner"?

* Skal en lærer kunne komme seg på nett både på arbeidsplassen sin og i klasserom/forelesningssaler? Og isåfall, skal elever hindres fysisk tilgang til lærernettet?

* Skal en lærer ha tilgang til filområdene til elevene fra sin arbeidsplass?

* Skal elever og lærere ha forskjellige skrivere?

* Hvordan skal eventuelle datarom og andre "fellesområder" (f.eks auditorium) håndteres?

 

Alle disse tingene er mulig, men du skaper deg en liten gjeng med ekstraarbeid

Lenke til kommentar
NikkaYoichi

NikkaYoichi

Skrevet
Skrevet

Så du anbefaler altså å ta et Windows server 2008-kurs. Takk for den...

 

Regner med det var ikke like godt ment som det var skrevet.

Jo, det var godt ment. Poenget er at jeg oppfattet det slik at du ikke hadde så veldig gode kunnskaper på området, ut fra det du skrev. Jeg beklager hvis jeg oppfattet deg feil. Sikkerheten er aldri bedre enn det svakeste leddet, det svakeste leddet er en admin som ikke har fullstendig kontroll over hvordan sikkerheten bør settes opp og ikke minst hvordan man setter riktig sikkerhet. Derfor vil ingen løsning være sikker nok, med mindre DU har kontroll på det du gjør. :) Det er ikke systemene i seg selv som ikke er sikre, men snarere menneskene som setter opp systemene som er problemet.

 

 

Har hatt inngående diskusjoner med datatilsynet om hva jeg skal gjøre, og det å ha elever / lærere på samme server og AD, er ikke anbefalt, da dette ikke er sikkert nok.

Hadde de noen forklaring på hvorfor det ikke var sikkert nok?

Lenke til kommentar
Trikrin

Trikrin

Skrevet
  • Forfatter
Skrevet

En plain Windows server 2008 installasjon med 2 virtuelle servere. En for elever og en for lærere. Da vil de kunne være adskilt på AD, vlan, og alt hjertet begjærer.

 

Noen innvendinger?

Et par ting du bør tenke igjennom:

 

* Skal en lærer kunne logge på "elevmaskiner" og "lærermaskiner"?

JA, det bør en lærer kunne gjøre.

 

* Skal en lærer kunne komme seg på nett både på arbeidsplassen sin og i klasserom/forelesningssaler? Og isåfall, skal elever hindres fysisk tilgang til lærernettet?

 

Elever skal hindres tilgang til lærernettet. En lærer bør komme på nett på klasserom, og i tillegg ha tilgang til sine dokumenter (sitt område).

 

 

Nei, en lærer skal ikke ha tilgang til filområder til elever.

 

* Skal elever og lærere ha forskjellige skrivere?

 

Ja, elever og lærerer skal ha forskjellige skrivere.

 

* Hvordan skal eventuelle datarom og andre "fellesområder" (f.eks auditorium) håndteres?

 

Datarom er elev-pcer. Noen forslag?

 

Alle disse tingene er mulig, men du skaper deg en liten gjeng med ekstraarbeid

 

Noen forslag til hvordan løse disse problemene?

 

 

Har hatt inngående diskusjoner med datatilsynet om hva jeg skal gjøre, og det å ha elever / lærere på samme server og AD, er ikke anbefalt, da dette ikke er sikkert nok.

 

 

Hadde de noen forklaring på hvorfor det ikke var sikkert nok?

 

Det datatilsynet mente ikke var sikkert nok, var at de var i samme AD, og på samme server. Med 2 forskjellige virtuelle servere, ville dette ikke lengre være noe problem.

 

Har ikke fått tak i noen rapporter som understøtter dette. Men med tanke på sensitive personopplysninger som lærerne høyst sannsynlig kommer til å lagre på serveren uansett om de får streng beskjed å ikke gjøre dette eller ikke, bør man separere elever og lærere mest mulig.

 

Ideer og forslag til den beste og fineste måten å gjøre dette på, mottas med stor takk :-)

Lenke til kommentar
CrZy_T

CrZy_T

Skrevet
Skrevet
* Skal en lærer kunne logge på "elevmaskiner" og "lærermaskiner"?

JA, det bør en lærer kunne gjøre.

Trust mellom domenene

* Skal en lærer kunne komme seg på nett både på arbeidsplassen sin og i klasserom/forelesningssaler? Og isåfall, skal elever hindres fysisk tilgang til lærernettet?

 

Elever skal hindres tilgang til lærernettet. En lærer bør komme på nett på klasserom, og i tillegg ha tilgang til sine dokumenter (sitt område).

Her ruller pengene... Du må nok enten opp med en NAC-løsning på kablede punkt, eller en skikkelig WLAN-løsning.

 

* Skal en lærer ha tilgang til filområdene til elevene fra sin arbeidsplass?

 

Nei, en lærer skal ikke ha tilgang til filområder til elever.

 

Erfaringsmessig så ønsker lærere å kunne legge ut oppgaver eller lignende på filområder utenom nettbaserte løsninger som f.eks ClassFronter/It's Learning ved prøver hvor man ikke skal ha tilgang til internett. Slipper man det problemet, så sparer du deg for en del jobb.

 

* Hvordan skal eventuelle datarom og andre "fellesområder" (f.eks auditorium) håndteres?

 

Datarom er elev-pcer. Noen forslag?

Hvis lærerene kan leve med at de da må sitte på elev-pc uten tilgang til sine dokumenter, så er jo ingenting bedre enn det.

 

Har hatt inngående diskusjoner med datatilsynet om hva jeg skal gjøre, og det å ha elever / lærere på samme server og AD, er ikke anbefalt, da dette ikke er sikkert nok.

Hadde de noen forklaring på hvorfor det ikke var sikkert nok?

Det datatilsynet mente ikke var sikkert nok, var at de var i samme AD, og på samme server. Med 2 forskjellige virtuelle servere, ville dette ikke lengre være noe problem.

 

Har ikke fått tak i noen rapporter som understøtter dette. Men med tanke på sensitive personopplysninger som lærerne høyst sannsynlig kommer til å lagre på serveren uansett om de får streng beskjed å ikke gjøre dette eller ikke, bør man separere elever og lærere mest mulig.

Jeg antar denne skolen ligger under en kommune eller fylke (da høgskoler og universiteter normalt tar ting med Uninett). Tar man utgangspunkt i Datatilsynets Veiledning i informasjonssikkerhet for kommuner og fylker så sier den noe på side 25 og utover som du bør ta hensyn til. Og vips, så fikk du brått et noe mer komplekst løsningsdesign. Skal du begynne med trust fra "sikret" til "intern" sone, så tviler jeg på at datatilsynet godtar direkte trust fra lærer til elevnettet ditt. Uten denne trusten mister du mye av funksjonaliteten du løser problemstillingene med over.

Lenke til kommentar
Trikrin

Trikrin

Skrevet
  • Forfatter
Skrevet

I min HP-server har jeg følgende:

 

3 nettverkskort, men et av dem er ILO.

 

Jeg har installert Windows server 2008 på serveren, og installert Hyper-V med to virtuelle servere.

 

1. Lærer

2. Elev

 

I dag kommer nettet inn til en Cisco-switch (Radiobasert).

Fra Cisco-switchen går den til :

 

1. Elev-ruteren som gir ut IPadresser på elev-vlanet.

2. Lærer-ruteren som gir ut adresser på lærervlanet (trådløse adresser 192...)

 

Lærer-serveren har jeg bundet det virtuelle externe nettverket mot det fysiske nettverksortet, men hva skal jeg gjøre med min virtuelle elev-server?

 

Vil dette oppsettet kunne bidra til at Datatilsynet blir fornøyd?

 

Hvordan kan jeg eventuelt få til at lærere får tilgang til sine hjemmeområder fra elevnettet? Uten at dette strider mot datatilsynet.

Lenke til kommentar
NikkaYoichi

NikkaYoichi

Skrevet
Skrevet

Jeg jobber selv i fylkeskommunen, nærmere bestemt ved en skole. Det som gjelder for det nettet hvor personsensitive opplysninger skal behandles er fysisk sikring samt logisk sikring av nettet. Vi har det vi kaller sikker sone her på bruket, hvor alt av personsensitiv informasjon går på et eget kryptert nett, via eget utstyr. Alt annet skilles via vlan. Dette er normal praksis i fylkeskommunen jeg er ansatt og i tråd med direktivene fra Datatilsynet vedrørende personsensitiv informasjon.

Lenke til kommentar
NikkaYoichi

NikkaYoichi

Skrevet
Skrevet

Over det trådløse nettet så kjører vi en hel drøss med forskjellige vlan, med forskjelig sikkerhet, alt fra psk til sertifikater og mac-filter, til åpne nett hvor brukeren sender en sms for å få tilsendt autentiseringskode. Alt styres av Cisco-utstyr, med tilhørende kontrollere for utrulling av sikkerhet, sertifikater osv.

 

Det er ikke noe spesielt skille mellom elever og lærere i forhold til hvilket vlan de skal sitte på - ganske enkelt fordi at det ikke er nødvendig.

 

Det er kun de som jobber med personsensitive data som sitter på adskilt nett i forhold til de andre. Lærere generelt jobber ikke med personsensitive data, så enkelt er det. Det er helt spesielle lærere(spes. ped) som jobber med slik informasjon, ordinære lærere har ikke engang tilgang til å se slik informasjon.

 

Alt slikt foregår på eget kryptert nett, alt av skrivere og alle nettverkspunkt som er tilknyttet det nettet står bak låste dører.

 

Dette er modellen som brukes i hele fylkeskommunen jeg jobber og ligger innenfor de kravene som stilles fra datatilsynet. Det er en grunn til at jeg uttaler meg forholdsvis generelt om eksakt hva og hvordan våre tekniske løsninger er.

 

Det er nå en gang slik at elevene og lærerne er i samme AD, sikkerheten er satt på flere nivåer, med gruppetilhørighet og personlig tilgangsnivåer på alle nettverksressurser. Det er selvsagt en teoretisk mulighet for å klare å bryte slike logiske barriærer, men er de smarte nok til det, så klarer de også å skaffe passordet til en lærer for i neste omgang å logge på med denne lærerens bruker mot domenet beregnet for lærere.

Lenke til kommentar
CrZy_T

CrZy_T

Skrevet
Skrevet

I min HP-server har jeg følgende:

 

3 nettverkskort, men et av dem er ILO.

 

Jeg har installert Windows server 2008 på serveren, og installert Hyper-V med to virtuelle servere.

 

1. Lærer

2. Elev

 

I dag kommer nettet inn til en Cisco-switch (Radiobasert).

Fra Cisco-switchen går den til :

 

1. Elev-ruteren som gir ut IPadresser på elev-vlanet.

2. Lærer-ruteren som gir ut adresser på lærervlanet (trådløse adresser 192...)

 

Lærer-serveren har jeg bundet det virtuelle externe nettverket mot det fysiske nettverksortet, men hva skal jeg gjøre med min virtuelle elev-server?

 

Vil dette oppsettet kunne bidra til at Datatilsynet blir fornøyd?

Gitt at lærernettet er helt adskilt fra elevnettet og alle andre eksterne nett (inkl. internett)

Hvordan kan jeg eventuelt få til at lærere får tilgang til sine hjemmeområder fra elevnettet? Uten at dette strider mot datatilsynet.

Du kommer nok ikke unna to-faktor authentisering og kryptering.

 

Uansett hvordan du vrir og vender på dette, så ønsker du ikke å ha personsensitiv informasjon på et lærernett.

 

NikkaYoichi har mange gode ord i sin post om hvordan denne type data normalt håndteres i fylker/kommuner i Norge.

Lenke til kommentar
Trikrin

Trikrin

Skrevet
  • Forfatter
Skrevet

Har ihvertfall følgende satt opp:

 

2 virtuelle servere. En for elev og en for lærer. Hyper-V som er foretrukket.

 

Port 24 er trunket mot både vlan elev og vlan lærer.

 

Virtuelt nettverkskort til lærer og elev er satt opp mot det fysiske nettverkskortet Broadcom.

 

Broadcom-kortet har en nettverkskabel som går i port 24 på cisco-svitsjen.

 

MEN, hvorfor får jeg ingenting opp når jeg har koblet det slik? Får ikke kontakt med hverken lærer eller ele når jeg KUN har koblet Broadcom-kortet i port 24 på svitsjen.

 

Noen som har noen gode råd om hva som er galt?

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...