Macs im Netz absichern (Firmennetz <-> freies Netz)

[chrosstian]

Hallo zusammen,

eine kurze Frage:

In unserem Betrieb "leben" wir im Grunde in einer Windows- / ActiveDirectory-Welt. Nach und nach sind jedoch auch einige Macs hinzugekommen, sodass wir mittlerweile ca. 100 Macs im Umlauf haben, welche wir nun sukzessiv so gut es geht in die Infrastruktur einbinden möchten.

Bei unseren Windows-Geräten ist es so geregelt, dass sie ohne eine direkte Verbindung zum ActiveDirectory nicht mehr frei surfen können. Sie können dann lediglich eine einzige Internetseite ansurfen, mit welcher sie sich ins Firmennetzwerk einwählen können. Alle anderen Seiten sind gesperrt. Es soll verhindert werden das die Geräte in der freien Wildbahn unbeschränkt surfen können (dort gehen sie dann ja natürlich nicht über unsere Firewall etc.) und sich dort diverse Schadsoftware einfangen.

...zusammengefasst:

• Netzwerk innerhalb des Betriebes = Verbindung zum ActiveDirectory = normales "Surfverhalten"
• Netzerk außerhalb des Betriebes (freies WLAN zuhause etc.) = keine AD-Verbindung = nur eine Seite kann "angesurft" werden, alles andere ist dicht.

Hat jemand zufällig eine Idee oder einen guten Ansatz wie man das auch unter OSX regeln könnte?

Vielen Dank im Voraus!

Grüße!

 

[Wuchtbrumme]

kein direktes Routing nach draussen, stattdessen Proxy-Requirement (das wäre sowieso gut). Das wiederum kann man per Profilmanagerpayload an Mac-Clients/User verteilen.

 

[Marcel Bresink]

Es wäre auch hilfreich zu wissen, wie die Sperre bei Windows technisch umgesetzt ist. Dass nur das "Surfen" gesperrt wird, ist unwahrscheinlich, es wird ja wohl eher der Netzwerkverkehr auf tieferer Ebene blockiert, wie Wuchtbrumme schon angedeutet hat.

Alle Versionen von macOS unterstützen Active Directory seit Mac OS X 10.1.3. So etwas wie "Windows-Gruppenrichtlinien" stehen allerdings nicht zur Verfügung.