vedette

@Dirk_privat Danke für Dein Verständnis. Tut gut, nach dem, was ich in den letzten Tagen erlebt habe. ;)

@Dirk_privat [] Da setz ich noch einen drauf. Die PKI klappt auch nicht besonders gut. Und ich habe den Usern die Verschlüsselung NICHT erlaubt. Sie haben es einfach gemacht. Und, ja ich habe zuvor alle begründeten Sicherheitsmassnahmen gegen einen GAU getroffen. Er ist trotzdem eingetreten! [] Wenn Du natürlich Admin bei einem grossen Unternehmen bist, dann wird das Thema ernst genommen und man gibt dir den Freiraum, sich mit dem Thema tiefgreifend auseinanderzusetzen. Und oberhalb einer bestimmten Nutzerzahl und Infrastruktur ist das auch tatsächlich dringend geraten. Da gebe ich Dir recht. [] Der administrative Aufwand, der benötigt wird, sich durch all die Konsolen und Einstellungen zu bewegen (im übrigen nach wirklich gründlicher Planung der PKI mit dem jeweiligen CIO und einigen Powerpoint-Präsentationen) ist aber für Unternehmen mit 2 bis 40 Usern (die alle in einem Haus sitzen und sehr ähnliche Sachen machen) ziemlich hoch. [] Ganz zu schweigen von einer Querauthentifizierung auf Linux-Systeme (der Mailserver des konkreten Kunden ist zudem eine Linux-Appliance). [] Ich hatte schon vor Jahren die Hoffnung, dass für eine Public Key Infrastructure ein genereller Ansatz gefunden werden könnte mit Authentifizeriungs- und KEY-Servern, die ähnlich wie DNS-Servern nicht nur im lokalen Netz, sondern auch im Internet angesiedelt sind, also mit generellen Zertifikatsservern. Auch das gibt es zwar mittlwerweile, aber google mal nach "PKI Zertifikatsstellen", dann findest Du zig-Firmen, die alle denselben und dann doch wieder unterschiedliche Ansätze verfolgen. Letztlich wird man immer wieder auf Einzellösungen zurückgeworfen. [] Dazu kommt was ganz anderes: Ich spreche gerne mit Unternehmenslenkern. Wenn ich da zu technisch werde, verdrehen die entgeistert die Augen. Erläre mal jemanden asymetrische Verschlüsselung. Ich habe das Buch "Geheime Botschaften" (Untertitel: Die Kunst der Verschlüsselung von der Antike bis in die Zeiten des Internet) von Simon Singh gelesen. Darin gibt es wenigstens ein paar Modelle, mit denen man asymetrische Verschlüsselung in Seminaren recht anschaulich erklären kann. Wie's aber technisch genau geht, will keiner wissen. Und wenn es dann darum geht - Wer bezahlt? - dann höre ich häufig, dass kein Interesse mehr vorhanden ist. [] Daher ist für mich der Maßstab, ob eine Lösung funzt (schreckliches Wort, aber ich habe mich daran gewöhnt) nicht, ob sie in einer bestimmten Umgebung ausgereift ins Werk gesetzt werden kann, sondern mit welchem Aufwand ich bei welchem Ergebnis lande. Und bestimmt glaubst auch Du mir, dass es einfacher ist ein altes (Freeware)-PGP runterzuladen, aufzuspielen und damit Dateien zu verschlüsseln. Und wenn ich nur Dateiverschlüsselung brauche, dann ist mein Kunde damit zufrieden. (Und die Wiederherstellung ist nicht abhängig vom Neuaufsetzen einer Domäne oder ähnlichem!)

Erst mal Danke für die schnelle Antwort! @banani Es ist nicht vorgesehen, dass User sich Dateien auf dem lokalen Rechner verschlüsseln, denn - seien wir ehrlich - das EFS taugt nicht viel. Wenn jemand lokale Verschlüsselung braucht rate ich zu PGP oder PGP-Disk oder ähnlichem. Ich ziehe ausserdem regelmäßig Images von den Rechnern im Netz. Daher ist die zusätzliche Einrichtung des Wiederherstellungsagenten überflüssig (und würde mir als Freelancer von diesem Kunden auch nicht bezahlt). Antwort also. Nein. @GerhardG Schau mal im ZD-Net unter ZD-NET Download Advanced EFS Data Recovery, was andere Admins so von dieser SW halten. Unter XP SP2 - dass habe ich schon recherchiert funzt sie sowieso nicht. Ich habe es mit Windows 2000 Pro am Client zu tun. Das könnte also klappen. In der Testversion werden aber nur die ersten 512 Bytes der zu entschlüsselnden Datei tatsächlich entschlüsselt. Um zu sehen, ob es überhaupt geht, wäre das ja ausreichend. Ich brauche aber eine Lösung aufgrund der vorhandenen Faktenlage. Wenn es die nicht gibt, dann ... Pech!

Hallo Kollegen, [] Eine Kollegin hat auf ihrem lokalen Rechner Dateien verschlüsselt mit einem User-Account, der auf einem Domänenserver verwaltet wird (wurde). [] Das USER-Profil wird allerdings auf dem lokalen Rechner verwaltet, weil ich das mal so eingestellt habe, um die Netzlast beim morgendlichen Booten zu senken. [] Der Server ist vor kurzem gecrasht und ich musste die Domäne und die User neu einrichten. (Siehe mein letztes Posting) [] Die Kollegin kann jetzt nicht mehr auf die verschlüsselten Dateien zugreifen, da sie ja einen neuen UID hat. [] Ich habe sowohl administrativen Zugriff auf ihr altes Profil, dass im Profilpfad liegt, (alt "%Profilpfad%/blabla", neu "%Profilpfad%/blabla.000". Ihr wisst schon.) als auch ein komplettes Acronis-Image, dass wenige Tage vor dem Crash gezogen wurde. DIE FRAGEN: [] Seht ihr eine Möglichkeit, dass "alte" Userzertifikat irgendwie zu extrahieren, um damit die verschlüsselten Daten zu entschlüsseln, natürlich möglichst ohne das "alte" Image wieder zurückzuspielen? Das steckt zwar irgendwie in der "ntuser.dat" des alten Profils. Da kommt man aber mit keinem mir bekannten Tool dran. [] Würde es überhaupt etwas nützen das alte Image wieder herzustellen? Kann ich als "++lokaler++ Admin" dann überhaupt das Zertifikat des "++Domänen-Users++" extrahieren, wenn die Domäne so gar nicht mehr existiert? (Obwohl die Profile lokal aufgehoben werden) Vielen Dank für Eure Bemühungen im Voraus.

Hallo fieser Byter, [] Gute Prompt-Tools findest Du unter http://www.sysinternals.com/ Googlen nach weiteren lohnt sich ums so mehr, je mehr Automatisierung Du durch Batches erledigen möchtest. [] Den Dateischutz (WPF=Windows File Protection) kann mann allerdings nicht einfach so abschalten. Auch nicht mit ATTRIB. Mehr dazu siehe hier http://arstechnica.com/tweak/win2k/others/disable_sfp-1.html oder hier http://www.windowsnetworking.com/articles_tutorials/Tweaking-XP-Windows-File-Protection-SP2.html und an vielen anderen Orten. [] Es gibt Tools, welche die Registrierungseingriffe zur Abschaltung unter einer GUI abbilden. Z.B. http://www.softpedia.com/progScreenshots/WfpAdmin-Screenshot-4759.html oder bei http://www.osronline.com/article.cfm?article=152 Allerdings sind dann die Vorteile der WPF natürlich ebenso verschwunden. (Meistens rate ich den Cache sogar mit dem vorhandenen Prompt-Tool SFC.EXE zu erhöhen.) [] Wenn man wpf-geschützte Dateien ersetzen will, dann hilft es manchmal, die geschützte Datei durch eine Datei gleichen Namens an allen Orten (also auch im geschützten Verzeichnis C:\WINDOWS\system32\dllcache) gleichzeitig zu überschreiben. Man baut sich eine Batchdatei, die z.B. eine neue NOTEPAD.EXE überall hinkopiert und das so ca. 50 Mal. XP (2003) protestiert zwar mit einem Haufen Meldungen, aber nach einem erzwungenen Reboot wird die neue NOTEPAD.EXE akzeptiert. [] Davon rate ich Dir allerdings generell eher ab. Ich mach das nur als Ausnahme bei NOTEPAD, weil intern immer wieder auf den Editor zugegriffen wird und es viel einfacher ist, eine in NOTEPAD umbenannte andere Anwendung einzu- schmuggeln, als alle möglichen Aufrufe zu ersetzen. [] Wie man abschliessend einen Reboot erzwingt, weisst Du ja jetzt. [] Ich glaube nicht, dass dieses Vorgehen für DEINE Zwecke ratsam ist. Siehe VARNIK. Was sagen die anderen? Was möchtest Du denn in System32 lesen oder ändern?

Vielen Dank für Euren kompetenten Beiträge. @Dippas zu 1. Du hast vollkommen recht. Er hat Intel StorCon+ aufgespielt. Demzufolge handelt es sich also auch um einen Intel Controller und nicht, wie von mir zuvor behauptet, um einen Adaptec. Ich denke ich werde nach dem Neuaufsetzen einen kompletten Systemcheck wegspeichern, damit man mal einen Überblick hat. Selbst mit SIW bekommt man schon aussagekräftige Infos. Ich muss dazu sagen. Ich darf als Freelancer nichts machen, was mein Kunde nicht haben will. Ich kann nur beratend auf ihn einwirken. Ein Systemreport war für ihn uninteressant. Jetzt, nach dem "Unfall" wird eine IDR-Lizenz für BackupEexec 10 erworben oder es kommt TrueImage für Server drauf und ein paar zusätzliche Wartungssachen darf ich auch noch machen. Aber das kennt ihr Kollegen ja, dass das Kind erst in den Brunnen fallen muss. zu 2. Man hat uns vom Systemhaus grosszügige Regelungen angeboten und hat auch prophylaktisch alle Platten aus- getauscht. Auch die verbliebene intakte Platte. Auf einmal waren die Sachen in Stunden per Kurier da, auf die mein Kunde (und ich im Hintergrund) zuvor 5 Tage warten mussten. Wer sich aber auskennt, weiss, dass es nicht immer so einfach ist zu sagen. "Tja, das Systemhaus tauschen wir jetzt oder wir holen alles von DELL, HP, etc." Die Kunden- beziehung ist oft etwas komplexer. Zum Beispiel haben wir von diesem Systemhaus sehr gute Leasingkonditionen bekommen (und dahingehend berate ich meine Kunden auch und schlage was raus für sie). Wer von Euch hat schon das perfekte Systemhaus im Rücken und was heisst dann perfekt? Auch @ wirtnix Vielleicht haben sie ja doch ein schlechtes Gewissen. Sie stehen ja jetzt auf einmal nicht nur für die schlechte Qualität der Festplatten gerade, sondern haben auch die Domain wieder neu aufgesetzt und die Kopplung an den Kommunikations- Server (Email, Firewall, etc.) durchgeführt. Nochmal vielen Dank für Eure Beiträge. Ihr habt mir geholfen. Vedette

Vielen Dank für die bisherigen Infos. Der Hardwarelieferant hat meinem Kunden und mir relativ großzügige Regelungen angeboten. Wer noch was dazu weiss. Ich kann noch ein paar Infos vertragen.

AN ALLE, die sich interessieren. Ich bin Dienstleister. U.a. administriere ich Systeme für KMUs, die sich keinen eigenen Admin leisten können oder wollen. Ich handele weder mit HW noch mit SW. Das wird über Vor-Ort-Systemhäuser beschafft. Also reiner Dienstleister. Ich komme ziemlich rum und habe schon viel gesehen. Ich bin seit ca. 16 Jahren in der IT tätig. Heute ist etwas passiert, dass ich nur vom Hörensagen kenne. Mein Problem: Am Freitag 07.10 ist in einem 1/2 Jahr alten Rackmount-Server eine Festplatte in einem 3-Platten Raid5 System mit Adaptec-Controller kaputt gegangen. Diese wurde heute vom Hardwarelieferanten getauscht. Ich war dabei nicht vor Ort. Wozu auch. Heute morgen rief mich der Angestellte des Hardwarelieferanten an und behauptete, er bräuchte Treiber, um das System im laufenden Betrieb wieder zu rebuilden. Bisher dachte ich immer, man steckt im laufenden Betrieb die neue Festplatte in ihrem Gehäusekäfig rein und der Rebuild läuft auf der Basis des Controllers von alleine (Das habe ich übrigens auch schon mehrfach gemacht!) 1. FRAGE also an das Forum. Stimmt es dass man für bestimmte (auch moderne) Geräte zusätzliche Treibersoftware braucht, um im laufenden Betrieb zu rebuilden? (W 2003 Server. Reiner File- und Print-Server, kein SQL, kein Exchange, nix sonst) Vor zwei Stunden ruft mich der Angestellte des Hardwarelieferanten nun erneut an und erzählt mir, dass sich eine zweite Festplatte während des Rebuilds der ersten (getauschten) verabschiedet hat. Das heisst: Stripe-Set und Paritätsinformationen zerstört. Server und Domain neu aufsetzen. 2. Frage an das Forum? Wie wahrscheinlich ist es, dass der Mann irgendeinen Fehler gemacht hat im Vergleich zur Wahrscheinlichkeit, dass sich eine x-beliebige, ein halbes Jahr alte Festplatte genau in dem schmalen Zeitrahmen verabschiedet, in dem eine andere neue einen Rebuild des Arrays fährt? Und wenn ein Fehler nicht unwahrscheinlich ist, welcher könnte es gewesen sein? Natürlich habe ich dazu meine Meinung, aber ich bin grundsätzlich sachorientiert und werde niemandem ohne Begründung an die Karre fahren. Ich möchte aber unbedingt Eure Erfahrungen kennenlernen, denn ich selbst habe in all meiner Zeit so einen Fall noch nie erlebt, habe also gerade diese Erfahrung noch nicht gemacht. (und ich habe schon soooooo viel mit IT erlebt). Wer hat obigen Fall auch schon erlebt? Was waren die Ursachen? Bitte helft mir. Telegrammstil völlig o.k.

Hallo alle, [] Wahrscheinlich ist der Speicher nicht mal defekt, sondern nur infolge des Umzugs nicht mehr richtig eingesteckt. Das habe ich bei Büroumzügen schon mehrfach erlebt. [] Also: Gehäuse auf. Speicherriegel mit trockenen Händen fest reindrücken. Nochmal versuchen!

Hallo, [] Wenn Dein Chef für ganz wenig Geld eine sagenhafte Leistung erwartet, dann ist das ja vielleicht der generelle Stil des Unternehmens. [] Im Ernst: Wenn man wenig Geld ausgeben will, dann muss man viel Köpfchen investieren. Dann kann man aus einem ALT-Rechner einer Linuxbasierten-Firewall-Rechner für 0,-- Euro machen und dann kauft man ein Antivirenprogramm, das auch Netzlaufwerke scannt, gibt alle Festplattenressourcen für einen Admin frei und scannt dann von EINEM Rechner alle anderen Rechner ab. [] Ansonsten (erst recht, wenn Dein Chef sich aufgrund der Billig-will-ich-Politik ein starkes Wachstum ausrechnet :-) sollte man auf eine Server-Client-Lösung und eine Hardwarefirewall in einem Router oder einer Appliance zusteuern. Manche Appliances können fast alle Netzwerkaufgaben in einem Gerät abdecken. (z.B. Ben Hur). [] Wenn Dein Chef ein echter Unternehmer ist, wird er Risiken nicht ausweichen. Dann rate ihm, er solle seine Feuerversicherung kündigen und dafür eine bessere und weniger ideosynkratische Lösung ansteuern. Die Wahrscheinlichkeit, dass sein Haus abbrennt ist wesentlich geringer, als die, das die von Dir beschriebenen Sicherheitsüberlegungen überrannt werden. Warum soll es von einer Firma sein? Best-of-Bread ist normal in der EDV. Und warum muss er die Hebel umlegen können? Du scheinst doch ganz vertrauenswürdig zu sein, oder will er nicht, das herauskommt, das er sich fiese Bildchen runterlädt?) Naja, vielleicht seid ihr ja bald ein Weltkonzern ;-)

Hallo, [] Leider schreibst Du nicht, ob das Problem plötzlich aufgetaucht ist, oder schon länger da ist. [] Es kann für Dein Problem noch einige andere Ursachen geben, aber mir fällt gerade eine ein, die ich selber neulich bekämpft habe. [] Viele Programme hinterlassen auch in lokal gespeicherten Profilen Pfadanweisungen. Diese sind manchmal als UNC-Pfade, manchmal aber auch nur als Pfade zu gemappten Laufwerken vorhanden. (Beispiel: Photoshop). Wenn der Pfad gestört ist, dann treten die Windowsüblichen 2 Minuten-Suchzeit auf. [] Die Pfade können dann sowohl in der Registrierung als auch in Dateien unterhalb des Profilpfads sein, die beim Starten abgearbeitet werden.