vedette

@Dirk_privat

 

Danke für Dein Verständnis. Tut gut, nach dem,

was ich in den letzten Tagen erlebt habe. ;)

@Dirk_privat

 

[] Da setz ich noch einen drauf.

Die PKI klappt auch nicht besonders gut.

Und ich habe den Usern die Verschlüsselung

NICHT erlaubt. Sie haben es einfach gemacht.

Und, ja ich habe zuvor alle begründeten

Sicherheitsmassnahmen gegen einen GAU

getroffen. Er ist trotzdem eingetreten!

 

[] Wenn Du natürlich Admin bei einem grossen

Unternehmen bist, dann wird das Thema ernst

genommen und man gibt dir den Freiraum, sich

mit dem Thema tiefgreifend auseinanderzusetzen.

Und oberhalb einer bestimmten Nutzerzahl und

Infrastruktur ist das auch tatsächlich dringend

geraten. Da gebe ich Dir recht.

 

[] Der administrative Aufwand, der benötigt

wird, sich durch all die Konsolen und Einstellungen

zu bewegen (im übrigen nach wirklich gründlicher

Planung der PKI mit dem jeweiligen CIO und einigen

Powerpoint-Präsentationen) ist aber für Unternehmen

mit 2 bis 40 Usern (die alle in einem Haus sitzen und

sehr ähnliche Sachen machen) ziemlich hoch.

 

[] Ganz zu schweigen von einer Querauthentifizierung

auf Linux-Systeme (der Mailserver des konkreten Kunden

ist zudem eine Linux-Appliance).

 

[] Ich hatte schon vor Jahren die Hoffnung, dass

für eine Public Key Infrastructure ein genereller

Ansatz gefunden werden könnte mit Authentifizeriungs-

und KEY-Servern, die ähnlich wie DNS-Servern nicht nur

im lokalen Netz, sondern auch im Internet angesiedelt

sind, also mit generellen Zertifikatsservern. Auch das

gibt es zwar mittlwerweile, aber google mal nach

"PKI Zertifikatsstellen", dann findest Du zig-Firmen,

die alle denselben und dann doch wieder unterschiedliche

Ansätze verfolgen. Letztlich wird man immer wieder

auf Einzellösungen zurückgeworfen.

 

[] Dazu kommt was ganz anderes:

Ich spreche gerne mit Unternehmenslenkern. Wenn ich

da zu technisch werde, verdrehen die entgeistert die

Augen. Erläre mal jemanden asymetrische Verschlüsselung.

Ich habe das Buch "Geheime Botschaften" (Untertitel: Die

Kunst der Verschlüsselung von der Antike bis in die Zeiten

des Internet) von Simon Singh gelesen. Darin gibt es

wenigstens ein paar Modelle, mit denen man asymetrische

Verschlüsselung in Seminaren recht anschaulich erklären

kann. Wie's aber technisch genau geht, will keiner wissen.

Und wenn es dann darum geht - Wer bezahlt? - dann

höre ich häufig, dass kein Interesse mehr vorhanden ist.

 

[] Daher ist für mich der Maßstab, ob eine Lösung

funzt (schreckliches Wort, aber ich habe mich daran gewöhnt)

nicht, ob sie in einer bestimmten Umgebung ausgereift

ins Werk gesetzt werden kann, sondern mit welchem

Aufwand ich bei welchem Ergebnis lande. Und bestimmt

glaubst auch Du mir, dass es einfacher ist ein altes

(Freeware)-PGP runterzuladen, aufzuspielen und

damit Dateien zu verschlüsseln. Und wenn ich nur

Dateiverschlüsselung brauche, dann ist mein Kunde

damit zufrieden. (Und die Wiederherstellung ist

nicht abhängig vom Neuaufsetzen einer Domäne oder

ähnlichem!)

Erst mal Danke für die schnelle Antwort!

 

@banani

Es ist nicht vorgesehen, dass User sich Dateien auf

dem lokalen Rechner verschlüsseln, denn - seien wir

ehrlich - das EFS taugt nicht viel. Wenn jemand

lokale Verschlüsselung braucht rate ich zu PGP

oder PGP-Disk oder ähnlichem. Ich ziehe ausserdem

regelmäßig Images von den Rechnern im Netz.

Daher ist die zusätzliche Einrichtung des

Wiederherstellungsagenten überflüssig (und würde

mir als Freelancer von diesem Kunden auch nicht

bezahlt). Antwort also. Nein.

 

@GerhardG

Schau mal im ZD-Net unter

ZD-NET Download Advanced EFS Data Recovery, was andere

Admins so von dieser SW halten. Unter XP SP2 -

dass habe ich schon recherchiert funzt sie sowieso

nicht. Ich habe es mit Windows 2000 Pro am Client

zu tun. Das könnte also klappen. In der Testversion

werden aber nur die ersten 512 Bytes der zu

entschlüsselnden Datei tatsächlich entschlüsselt.

Um zu sehen, ob es überhaupt geht, wäre das ja

ausreichend.

 

Ich brauche aber eine Lösung aufgrund der vorhandenen

Faktenlage. Wenn es die nicht gibt, dann ... Pech!

Hallo Kollegen,

 

[] Eine Kollegin hat auf ihrem lokalen Rechner

Dateien verschlüsselt mit einem User-Account,

der auf einem Domänenserver verwaltet wird

(wurde).

 

[] Das USER-Profil wird allerdings auf dem

lokalen Rechner verwaltet, weil ich das mal so

eingestellt habe, um die Netzlast beim

morgendlichen Booten zu senken.

 

[] Der Server ist vor kurzem gecrasht und ich

musste die Domäne und die User neu einrichten.

(Siehe mein letztes Posting)

 

[] Die Kollegin kann jetzt nicht mehr auf

die verschlüsselten Dateien zugreifen, da

sie ja einen neuen UID hat.

 

[] Ich habe sowohl administrativen Zugriff

auf ihr altes Profil, dass im Profilpfad

liegt, (alt "%Profilpfad%/blabla", neu

"%Profilpfad%/blabla.000". Ihr wisst schon.)

als auch ein komplettes Acronis-Image,

dass wenige Tage vor dem Crash gezogen

wurde.

 

DIE FRAGEN:

 

[] Seht ihr eine Möglichkeit, dass "alte"

Userzertifikat irgendwie zu extrahieren,

um damit die verschlüsselten Daten zu

entschlüsseln, natürlich möglichst ohne

das "alte" Image wieder zurückzuspielen?

Das steckt zwar irgendwie in der "ntuser.dat"

des alten Profils. Da kommt man aber mit

keinem mir bekannten Tool dran.

 

[] Würde es überhaupt etwas nützen das

alte Image wieder herzustellen? Kann ich

als "++lokaler++ Admin" dann überhaupt das

Zertifikat des "++Domänen-Users++" extrahieren,

wenn die Domäne so gar nicht mehr existiert?

(Obwohl die Profile lokal aufgehoben werden)

 

Vielen Dank für Eure Bemühungen im Voraus.

Hallo fieser Byter,

 

[] Gute Prompt-Tools findest Du unter

http://www.sysinternals.com/

 

Googlen nach weiteren lohnt sich ums so mehr, je mehr

Automatisierung Du durch Batches erledigen möchtest.

 

[] Den Dateischutz (WPF=Windows File Protection) kann mann

allerdings nicht einfach so abschalten. Auch nicht mit ATTRIB.

 

Mehr dazu siehe hier

http://arstechnica.com/tweak/win2k/others/disable_sfp-1.html

oder hier

http://www.windowsnetworking.com/articles_tutorials/Tweaking-XP-Windows-File-Protection-SP2.html

und an vielen anderen Orten.

 

[] Es gibt Tools, welche die Registrierungseingriffe zur

Abschaltung unter einer GUI abbilden. Z.B.

http://www.softpedia.com/progScreenshots/WfpAdmin-Screenshot-4759.html

oder bei http://www.osronline.com/article.cfm?article=152

 

Allerdings sind dann die Vorteile der WPF natürlich ebenso

verschwunden. (Meistens rate ich den Cache sogar mit

dem vorhandenen Prompt-Tool SFC.EXE zu erhöhen.)

 

[] Wenn man wpf-geschützte Dateien ersetzen will, dann hilft

es manchmal, die geschützte Datei durch eine Datei gleichen

Namens an allen Orten (also auch im geschützten Verzeichnis

C:\WINDOWS\system32\dllcache) gleichzeitig zu überschreiben.

Man baut sich eine Batchdatei, die z.B. eine neue NOTEPAD.EXE

überall hinkopiert und das so ca. 50 Mal. XP (2003) protestiert

zwar mit einem Haufen Meldungen, aber nach einem

erzwungenen Reboot wird die neue NOTEPAD.EXE akzeptiert.

 

[] Davon rate ich Dir allerdings generell eher ab. Ich mach

das nur als Ausnahme bei NOTEPAD, weil intern immer wieder

auf den Editor zugegriffen wird und es viel einfacher ist,

eine in NOTEPAD umbenannte andere Anwendung einzu-

schmuggeln, als alle möglichen Aufrufe zu ersetzen.

 

[] Wie man abschliessend einen Reboot erzwingt, weisst Du

ja jetzt.

 

[] Ich glaube nicht, dass dieses Vorgehen für DEINE Zwecke

ratsam ist. Siehe VARNIK. Was sagen die anderen?

Was möchtest Du denn in System32 lesen oder ändern?

Vielen Dank für Euren kompetenten Beiträge.

 

@Dippas

zu 1.

Du hast vollkommen recht. Er hat Intel StorCon+ aufgespielt.

Demzufolge handelt es sich also auch um einen Intel Controller

und nicht, wie von mir zuvor behauptet, um einen Adaptec.

Ich denke ich werde nach dem Neuaufsetzen einen kompletten

Systemcheck wegspeichern, damit man mal einen Überblick hat.

Selbst mit SIW bekommt man schon aussagekräftige Infos.

 

Ich muss dazu sagen. Ich darf als Freelancer nichts machen,

was mein Kunde nicht haben will. Ich kann nur beratend auf

ihn einwirken. Ein Systemreport war für ihn uninteressant.

Jetzt, nach dem "Unfall" wird eine IDR-Lizenz für

BackupEexec 10 erworben oder es kommt TrueImage für

Server drauf und ein paar zusätzliche Wartungssachen darf

ich auch noch machen. Aber das kennt ihr Kollegen ja,

dass das Kind erst in den Brunnen fallen muss.

 

zu 2.

Man hat uns vom Systemhaus grosszügige Regelungen

angeboten und hat auch prophylaktisch alle Platten aus-

getauscht. Auch die verbliebene intakte Platte. Auf einmal

waren die Sachen in Stunden per Kurier da, auf die mein

Kunde (und ich im Hintergrund) zuvor 5 Tage warten mussten.

 

Wer sich aber auskennt, weiss, dass es nicht immer

so einfach ist zu sagen. "Tja, das Systemhaus tauschen wir

jetzt oder wir holen alles von DELL, HP, etc." Die Kunden-

beziehung ist oft etwas komplexer. Zum Beispiel haben

wir von diesem Systemhaus sehr gute Leasingkonditionen

bekommen (und dahingehend berate ich meine Kunden

auch und schlage was raus für sie).

 

Wer von Euch hat schon das perfekte Systemhaus im Rücken

und was heisst dann perfekt?

 

Auch @ wirtnix

Vielleicht haben sie ja doch ein schlechtes Gewissen.

Sie stehen ja jetzt auf einmal nicht nur für die schlechte Qualität

der Festplatten gerade, sondern haben auch die Domain

wieder neu aufgesetzt und die Kopplung an den Kommunikations-

Server (Email, Firewall, etc.) durchgeführt.

 

Nochmal vielen Dank für Eure Beiträge. Ihr habt mir geholfen.

 

Vedette

Vielen Dank für die bisherigen Infos. Der Hardwarelieferant hat meinem Kunden und mir relativ großzügige Regelungen angeboten. Wer noch was dazu weiss. Ich kann noch ein paar Infos vertragen.

AN ALLE, die sich interessieren.

 

Ich bin Dienstleister. U.a. administriere ich Systeme für KMUs, die sich

keinen eigenen Admin leisten können oder wollen. Ich handele weder mit

HW noch mit SW. Das wird über Vor-Ort-Systemhäuser beschafft. Also

reiner Dienstleister. Ich komme ziemlich rum und habe schon viel gesehen.

Ich bin seit ca. 16 Jahren in der IT tätig. Heute ist etwas passiert,

dass ich nur vom Hörensagen kenne.

 

Mein Problem:

 

Am Freitag 07.10 ist in einem 1/2 Jahr alten Rackmount-Server

eine Festplatte in einem 3-Platten Raid5 System mit Adaptec-Controller

kaputt gegangen. Diese wurde heute vom Hardwarelieferanten getauscht.

Ich war dabei nicht vor Ort. Wozu auch.

 

Heute morgen rief mich der Angestellte des Hardwarelieferanten an und

behauptete, er bräuchte Treiber, um das System im laufenden Betrieb

wieder zu rebuilden. Bisher dachte ich immer, man steckt im laufenden

Betrieb die neue Festplatte in ihrem Gehäusekäfig rein und der Rebuild

läuft auf der Basis des Controllers von alleine

(Das habe ich übrigens auch schon mehrfach gemacht!)

 

1. FRAGE also an das Forum. Stimmt es dass man für bestimmte (auch

moderne) Geräte zusätzliche Treibersoftware braucht, um im laufenden

Betrieb zu rebuilden? (W 2003 Server. Reiner File- und Print-Server,

kein SQL, kein Exchange, nix sonst)

 

Vor zwei Stunden ruft mich der Angestellte des Hardwarelieferanten nun

erneut an und erzählt mir, dass sich eine zweite Festplatte während des

Rebuilds der ersten (getauschten) verabschiedet hat. Das heisst:

Stripe-Set und Paritätsinformationen zerstört. Server und Domain neu

aufsetzen.

 

2. Frage an das Forum? Wie wahrscheinlich ist es, dass der Mann

irgendeinen Fehler gemacht hat im Vergleich zur Wahrscheinlichkeit,

dass sich eine x-beliebige, ein halbes Jahr alte Festplatte genau in

dem schmalen Zeitrahmen verabschiedet, in dem eine andere neue einen

Rebuild des Arrays fährt? Und wenn ein Fehler nicht unwahrscheinlich

ist, welcher könnte es gewesen sein?

 

Natürlich habe ich dazu meine Meinung, aber ich bin grundsätzlich

sachorientiert und werde niemandem ohne Begründung an die Karre fahren.

 

Ich möchte aber unbedingt Eure Erfahrungen kennenlernen, denn ich

selbst habe in all meiner Zeit so einen Fall noch nie erlebt, habe also

gerade diese Erfahrung noch nicht gemacht. (und ich habe schon soooooo

viel mit IT erlebt).

 

Wer hat obigen Fall auch schon erlebt? Was waren die Ursachen?

Bitte helft mir. Telegrammstil völlig o.k.

Hallo alle,

 

[] Wahrscheinlich ist der Speicher nicht mal defekt,

sondern nur infolge des Umzugs nicht mehr richtig

eingesteckt. Das habe ich bei Büroumzügen schon

mehrfach erlebt.

 

[] Also: Gehäuse auf. Speicherriegel mit trockenen

Händen fest reindrücken. Nochmal versuchen!

Hallo,

 

[] Wenn Dein Chef für ganz wenig Geld eine sagenhafte

Leistung erwartet, dann ist das ja vielleicht der generelle

Stil des Unternehmens.

 

[] Im Ernst: Wenn man wenig Geld ausgeben will, dann muss

man viel Köpfchen investieren. Dann kann man aus einem

ALT-Rechner einer Linuxbasierten-Firewall-Rechner für 0,-- Euro

machen und dann kauft man ein Antivirenprogramm, das auch

Netzlaufwerke scannt, gibt alle Festplattenressourcen für einen

Admin frei und scannt dann von EINEM Rechner alle anderen

Rechner ab.

 

[] Ansonsten (erst recht, wenn Dein Chef sich aufgrund der

Billig-will-ich-Politik ein starkes Wachstum ausrechnet :-) sollte

man auf eine Server-Client-Lösung und eine Hardwarefirewall

in einem Router oder einer Appliance zusteuern. Manche

Appliances können fast alle Netzwerkaufgaben in einem Gerät

abdecken. (z.B. Ben Hur).

 

[] Wenn Dein Chef ein echter Unternehmer ist, wird er Risiken

nicht ausweichen. Dann rate ihm, er solle seine Feuerversicherung

kündigen und dafür eine bessere und weniger ideosynkratische

Lösung ansteuern. Die Wahrscheinlichkeit, dass sein Haus

abbrennt ist wesentlich geringer, als die, das die von Dir

beschriebenen Sicherheitsüberlegungen überrannt werden.

Warum soll es von einer Firma sein? Best-of-Bread ist normal

in der EDV. Und warum muss er die Hebel umlegen können?

Du scheinst doch ganz vertrauenswürdig zu sein, oder will er

nicht, das herauskommt, das er sich fiese Bildchen runterlädt?)

 

Naja, vielleicht seid ihr ja bald ein Weltkonzern ;-)

Hallo,

 

[] Leider schreibst Du nicht, ob das Problem plötzlich aufgetaucht

ist, oder schon länger da ist.

 

[] Es kann für Dein Problem noch einige andere Ursachen geben,

aber mir fällt gerade eine ein, die ich selber neulich bekämpft habe.

 

[] Viele Programme hinterlassen auch in lokal gespeicherten Profilen

Pfadanweisungen. Diese sind manchmal als UNC-Pfade, manchmal

aber auch nur als Pfade zu gemappten Laufwerken vorhanden.

(Beispiel: Photoshop). Wenn der Pfad gestört ist, dann treten die

Windowsüblichen 2 Minuten-Suchzeit auf.

 

[] Die Pfade können dann sowohl in der Registrierung als auch

in Dateien unterhalb des Profilpfads sein, die beim Starten

abgearbeitet werden.