-
Gesamte Inhalte
11 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von vedette
-
-
@Dirk_privat
[] Da setz ich noch einen drauf.
Die PKI klappt auch nicht besonders gut.
Und ich habe den Usern die Verschlüsselung
NICHT erlaubt. Sie haben es einfach gemacht.
Und, ja ich habe zuvor alle begründeten
Sicherheitsmassnahmen gegen einen GAU
getroffen. Er ist trotzdem eingetreten!
[] Wenn Du natürlich Admin bei einem grossen
Unternehmen bist, dann wird das Thema ernst
genommen und man gibt dir den Freiraum, sich
mit dem Thema tiefgreifend auseinanderzusetzen.
Und oberhalb einer bestimmten Nutzerzahl und
Infrastruktur ist das auch tatsächlich dringend
geraten. Da gebe ich Dir recht.
[] Der administrative Aufwand, der benötigt
wird, sich durch all die Konsolen und Einstellungen
zu bewegen (im übrigen nach wirklich gründlicher
Planung der PKI mit dem jeweiligen CIO und einigen
Powerpoint-Präsentationen) ist aber für Unternehmen
mit 2 bis 40 Usern (die alle in einem Haus sitzen und
sehr ähnliche Sachen machen) ziemlich hoch.
[] Ganz zu schweigen von einer Querauthentifizierung
auf Linux-Systeme (der Mailserver des konkreten Kunden
ist zudem eine Linux-Appliance).
[] Ich hatte schon vor Jahren die Hoffnung, dass
für eine Public Key Infrastructure ein genereller
Ansatz gefunden werden könnte mit Authentifizeriungs-
und KEY-Servern, die ähnlich wie DNS-Servern nicht nur
im lokalen Netz, sondern auch im Internet angesiedelt
sind, also mit generellen Zertifikatsservern. Auch das
gibt es zwar mittlwerweile, aber google mal nach
"PKI Zertifikatsstellen", dann findest Du zig-Firmen,
die alle denselben und dann doch wieder unterschiedliche
Ansätze verfolgen. Letztlich wird man immer wieder
auf Einzellösungen zurückgeworfen.
[] Dazu kommt was ganz anderes:
Ich spreche gerne mit Unternehmenslenkern. Wenn ich
da zu technisch werde, verdrehen die entgeistert die
Augen. Erläre mal jemanden asymetrische Verschlüsselung.
Ich habe das Buch "Geheime Botschaften" (Untertitel: Die
Kunst der Verschlüsselung von der Antike bis in die Zeiten
des Internet) von Simon Singh gelesen. Darin gibt es
wenigstens ein paar Modelle, mit denen man asymetrische
Verschlüsselung in Seminaren recht anschaulich erklären
kann. Wie's aber technisch genau geht, will keiner wissen.
Und wenn es dann darum geht - Wer bezahlt? - dann
höre ich häufig, dass kein Interesse mehr vorhanden ist.
[] Daher ist für mich der Maßstab, ob eine Lösung
funzt (schreckliches Wort, aber ich habe mich daran gewöhnt)
nicht, ob sie in einer bestimmten Umgebung ausgereift
ins Werk gesetzt werden kann, sondern mit welchem
Aufwand ich bei welchem Ergebnis lande. Und bestimmt
glaubst auch Du mir, dass es einfacher ist ein altes
(Freeware)-PGP runterzuladen, aufzuspielen und
damit Dateien zu verschlüsseln. Und wenn ich nur
Dateiverschlüsselung brauche, dann ist mein Kunde
damit zufrieden. (Und die Wiederherstellung ist
nicht abhängig vom Neuaufsetzen einer Domäne oder
ähnlichem!)
-
Erst mal Danke für die schnelle Antwort!
@banani
Es ist nicht vorgesehen, dass User sich Dateien auf
dem lokalen Rechner verschlüsseln, denn - seien wir
ehrlich - das EFS taugt nicht viel. Wenn jemand
lokale Verschlüsselung braucht rate ich zu PGP
oder PGP-Disk oder ähnlichem. Ich ziehe ausserdem
regelmäßig Images von den Rechnern im Netz.
Daher ist die zusätzliche Einrichtung des
Wiederherstellungsagenten überflüssig (und würde
mir als Freelancer von diesem Kunden auch nicht
bezahlt). Antwort also. Nein.
@GerhardG
Schau mal im ZD-Net unter
ZD-NET Download Advanced EFS Data Recovery, was andere
Admins so von dieser SW halten. Unter XP SP2 -
dass habe ich schon recherchiert funzt sie sowieso
nicht. Ich habe es mit Windows 2000 Pro am Client
zu tun. Das könnte also klappen. In der Testversion
werden aber nur die ersten 512 Bytes der zu
entschlüsselnden Datei tatsächlich entschlüsselt.
Um zu sehen, ob es überhaupt geht, wäre das ja
ausreichend.
Ich brauche aber eine Lösung aufgrund der vorhandenen
Faktenlage. Wenn es die nicht gibt, dann ... Pech!
-
Hallo Kollegen,
[] Eine Kollegin hat auf ihrem lokalen Rechner
Dateien verschlüsselt mit einem User-Account,
der auf einem Domänenserver verwaltet wird
(wurde).
[] Das USER-Profil wird allerdings auf dem
lokalen Rechner verwaltet, weil ich das mal so
eingestellt habe, um die Netzlast beim
morgendlichen Booten zu senken.
[] Der Server ist vor kurzem gecrasht und ich
musste die Domäne und die User neu einrichten.
(Siehe mein letztes Posting)
[] Die Kollegin kann jetzt nicht mehr auf
die verschlüsselten Dateien zugreifen, da
sie ja einen neuen UID hat.
[] Ich habe sowohl administrativen Zugriff
auf ihr altes Profil, dass im Profilpfad
liegt, (alt "%Profilpfad%/blabla", neu
"%Profilpfad%/blabla.000". Ihr wisst schon.)
als auch ein komplettes Acronis-Image,
dass wenige Tage vor dem Crash gezogen
wurde.
DIE FRAGEN:
[] Seht ihr eine Möglichkeit, dass "alte"
Userzertifikat irgendwie zu extrahieren,
um damit die verschlüsselten Daten zu
entschlüsseln, natürlich möglichst ohne
das "alte" Image wieder zurückzuspielen?
Das steckt zwar irgendwie in der "ntuser.dat"
des alten Profils. Da kommt man aber mit
keinem mir bekannten Tool dran.
[] Würde es überhaupt etwas nützen das
alte Image wieder herzustellen? Kann ich
als "++lokaler++ Admin" dann überhaupt das
Zertifikat des "++Domänen-Users++" extrahieren,
wenn die Domäne so gar nicht mehr existiert?
(Obwohl die Profile lokal aufgehoben werden)
Vielen Dank für Eure Bemühungen im Voraus.
-
Hallo fieser Byter,
[] Gute Prompt-Tools findest Du unter
Googlen nach weiteren lohnt sich ums so mehr, je mehr
Automatisierung Du durch Batches erledigen möchtest.
[] Den Dateischutz (WPF=Windows File Protection) kann mann
allerdings nicht einfach so abschalten. Auch nicht mit ATTRIB.
Mehr dazu siehe hier
http://arstechnica.com/tweak/win2k/others/disable_sfp-1.html
oder hier
http://www.windowsnetworking.com/articles_tutorials/Tweaking-XP-Windows-File-Protection-SP2.html
und an vielen anderen Orten.
[] Es gibt Tools, welche die Registrierungseingriffe zur
Abschaltung unter einer GUI abbilden. Z.B.
http://www.softpedia.com/progScreenshots/WfpAdmin-Screenshot-4759.html
oder bei http://www.osronline.com/article.cfm?article=152
Allerdings sind dann die Vorteile der WPF natürlich ebenso
verschwunden. (Meistens rate ich den Cache sogar mit
dem vorhandenen Prompt-Tool SFC.EXE zu erhöhen.)
[] Wenn man wpf-geschützte Dateien ersetzen will, dann hilft
es manchmal, die geschützte Datei durch eine Datei gleichen
Namens an allen Orten (also auch im geschützten Verzeichnis
C:\WINDOWS\system32\dllcache) gleichzeitig zu überschreiben.
Man baut sich eine Batchdatei, die z.B. eine neue NOTEPAD.EXE
überall hinkopiert und das so ca. 50 Mal. XP (2003) protestiert
zwar mit einem Haufen Meldungen, aber nach einem
erzwungenen Reboot wird die neue NOTEPAD.EXE akzeptiert.
[] Davon rate ich Dir allerdings generell eher ab. Ich mach
das nur als Ausnahme bei NOTEPAD, weil intern immer wieder
auf den Editor zugegriffen wird und es viel einfacher ist,
eine in NOTEPAD umbenannte andere Anwendung einzu-
schmuggeln, als alle möglichen Aufrufe zu ersetzen.
[] Wie man abschliessend einen Reboot erzwingt, weisst Du
ja jetzt.
[] Ich glaube nicht, dass dieses Vorgehen für DEINE Zwecke
ratsam ist. Siehe VARNIK. Was sagen die anderen?
Was möchtest Du denn in System32 lesen oder ändern?
-
Vielen Dank für Euren kompetenten Beiträge.
@Dippas
zu 1.
Du hast vollkommen recht. Er hat Intel StorCon+ aufgespielt.
Demzufolge handelt es sich also auch um einen Intel Controller
und nicht, wie von mir zuvor behauptet, um einen Adaptec.
Ich denke ich werde nach dem Neuaufsetzen einen kompletten
Systemcheck wegspeichern, damit man mal einen Überblick hat.
Selbst mit SIW bekommt man schon aussagekräftige Infos.
Ich muss dazu sagen. Ich darf als Freelancer nichts machen,
was mein Kunde nicht haben will. Ich kann nur beratend auf
ihn einwirken. Ein Systemreport war für ihn uninteressant.
Jetzt, nach dem "Unfall" wird eine IDR-Lizenz für
BackupEexec 10 erworben oder es kommt TrueImage für
Server drauf und ein paar zusätzliche Wartungssachen darf
ich auch noch machen. Aber das kennt ihr Kollegen ja,
dass das Kind erst in den Brunnen fallen muss.
zu 2.
Man hat uns vom Systemhaus grosszügige Regelungen
angeboten und hat auch prophylaktisch alle Platten aus-
getauscht. Auch die verbliebene intakte Platte. Auf einmal
waren die Sachen in Stunden per Kurier da, auf die mein
Kunde (und ich im Hintergrund) zuvor 5 Tage warten mussten.
Wer sich aber auskennt, weiss, dass es nicht immer
so einfach ist zu sagen. "Tja, das Systemhaus tauschen wir
jetzt oder wir holen alles von DELL, HP, etc." Die Kunden-
beziehung ist oft etwas komplexer. Zum Beispiel haben
wir von diesem Systemhaus sehr gute Leasingkonditionen
bekommen (und dahingehend berate ich meine Kunden
auch und schlage was raus für sie).
Wer von Euch hat schon das perfekte Systemhaus im Rücken
und was heisst dann perfekt?
Auch @ wirtnix
Vielleicht haben sie ja doch ein schlechtes Gewissen.
Sie stehen ja jetzt auf einmal nicht nur für die schlechte Qualität
der Festplatten gerade, sondern haben auch die Domain
wieder neu aufgesetzt und die Kopplung an den Kommunikations-
Server (Email, Firewall, etc.) durchgeführt.
Nochmal vielen Dank für Eure Beiträge. Ihr habt mir geholfen.
Vedette
-
Vielen Dank für die bisherigen Infos. Der Hardwarelieferant hat meinem Kunden und mir relativ großzügige Regelungen angeboten. Wer noch was dazu weiss. Ich kann noch ein paar Infos vertragen.
-
AN ALLE, die sich interessieren.
Ich bin Dienstleister. U.a. administriere ich Systeme für KMUs, die sich
keinen eigenen Admin leisten können oder wollen. Ich handele weder mit
HW noch mit SW. Das wird über Vor-Ort-Systemhäuser beschafft. Also
reiner Dienstleister. Ich komme ziemlich rum und habe schon viel gesehen.
Ich bin seit ca. 16 Jahren in der IT tätig. Heute ist etwas passiert,
dass ich nur vom Hörensagen kenne.
Mein Problem:
Am Freitag 07.10 ist in einem 1/2 Jahr alten Rackmount-Server
eine Festplatte in einem 3-Platten Raid5 System mit Adaptec-Controller
kaputt gegangen. Diese wurde heute vom Hardwarelieferanten getauscht.
Ich war dabei nicht vor Ort. Wozu auch.
Heute morgen rief mich der Angestellte des Hardwarelieferanten an und
behauptete, er bräuchte Treiber, um das System im laufenden Betrieb
wieder zu rebuilden. Bisher dachte ich immer, man steckt im laufenden
Betrieb die neue Festplatte in ihrem Gehäusekäfig rein und der Rebuild
läuft auf der Basis des Controllers von alleine
(Das habe ich übrigens auch schon mehrfach gemacht!)
1. FRAGE also an das Forum. Stimmt es dass man für bestimmte (auch
moderne) Geräte zusätzliche Treibersoftware braucht, um im laufenden
Betrieb zu rebuilden? (W 2003 Server. Reiner File- und Print-Server,
kein SQL, kein Exchange, nix sonst)
Vor zwei Stunden ruft mich der Angestellte des Hardwarelieferanten nun
erneut an und erzählt mir, dass sich eine zweite Festplatte während des
Rebuilds der ersten (getauschten) verabschiedet hat. Das heisst:
Stripe-Set und Paritätsinformationen zerstört. Server und Domain neu
aufsetzen.
2. Frage an das Forum? Wie wahrscheinlich ist es, dass der Mann
irgendeinen Fehler gemacht hat im Vergleich zur Wahrscheinlichkeit,
dass sich eine x-beliebige, ein halbes Jahr alte Festplatte genau in
dem schmalen Zeitrahmen verabschiedet, in dem eine andere neue einen
Rebuild des Arrays fährt? Und wenn ein Fehler nicht unwahrscheinlich
ist, welcher könnte es gewesen sein?
Natürlich habe ich dazu meine Meinung, aber ich bin grundsätzlich
sachorientiert und werde niemandem ohne Begründung an die Karre fahren.
Ich möchte aber unbedingt Eure Erfahrungen kennenlernen, denn ich
selbst habe in all meiner Zeit so einen Fall noch nie erlebt, habe also
gerade diese Erfahrung noch nicht gemacht. (und ich habe schon soooooo
viel mit IT erlebt).
Wer hat obigen Fall auch schon erlebt? Was waren die Ursachen?
Bitte helft mir. Telegrammstil völlig o.k.
-
Hallo alle,
[] Wahrscheinlich ist der Speicher nicht mal defekt,
sondern nur infolge des Umzugs nicht mehr richtig
eingesteckt. Das habe ich bei Büroumzügen schon
mehrfach erlebt.
[] Also: Gehäuse auf. Speicherriegel mit trockenen
Händen fest reindrücken. Nochmal versuchen!
-
Hallo,
[] Wenn Dein Chef für ganz wenig Geld eine sagenhafte
Leistung erwartet, dann ist das ja vielleicht der generelle
Stil des Unternehmens.
[] Im Ernst: Wenn man wenig Geld ausgeben will, dann muss
man viel Köpfchen investieren. Dann kann man aus einem
ALT-Rechner einer Linuxbasierten-Firewall-Rechner für 0,-- Euro
machen und dann kauft man ein Antivirenprogramm, das auch
Netzlaufwerke scannt, gibt alle Festplattenressourcen für einen
Admin frei und scannt dann von EINEM Rechner alle anderen
Rechner ab.
[] Ansonsten (erst recht, wenn Dein Chef sich aufgrund der
Billig-will-ich-Politik ein starkes Wachstum ausrechnet :-) sollte
man auf eine Server-Client-Lösung und eine Hardwarefirewall
in einem Router oder einer Appliance zusteuern. Manche
Appliances können fast alle Netzwerkaufgaben in einem Gerät
abdecken. (z.B. Ben Hur).
[] Wenn Dein Chef ein echter Unternehmer ist, wird er Risiken
nicht ausweichen. Dann rate ihm, er solle seine Feuerversicherung
kündigen und dafür eine bessere und weniger ideosynkratische
Lösung ansteuern. Die Wahrscheinlichkeit, dass sein Haus
abbrennt ist wesentlich geringer, als die, das die von Dir
beschriebenen Sicherheitsüberlegungen überrannt werden.
Warum soll es von einer Firma sein? Best-of-Bread ist normal
in der EDV. Und warum muss er die Hebel umlegen können?
Du scheinst doch ganz vertrauenswürdig zu sein, oder will er
nicht, das herauskommt, das er sich fiese Bildchen runterlädt?)
Naja, vielleicht seid ihr ja bald ein Weltkonzern ;-)
-
Hallo,
[] Leider schreibst Du nicht, ob das Problem plötzlich aufgetaucht
ist, oder schon länger da ist.
[] Es kann für Dein Problem noch einige andere Ursachen geben,
aber mir fällt gerade eine ein, die ich selber neulich bekämpft habe.
[] Viele Programme hinterlassen auch in lokal gespeicherten Profilen
Pfadanweisungen. Diese sind manchmal als UNC-Pfade, manchmal
aber auch nur als Pfade zu gemappten Laufwerken vorhanden.
(Beispiel: Photoshop). Wenn der Pfad gestört ist, dann treten die
Windowsüblichen 2 Minuten-Suchzeit auf.
[] Die Pfade können dann sowohl in der Registrierung als auch
in Dateien unterhalb des Profilpfads sein, die beim Starten
abgearbeitet werden.
Problem mit EFS-verschlüsselten Dateien
in Windows Server Forum
Geschrieben
@Dirk_privat
Danke für Dein Verständnis. Tut gut, nach dem,
was ich in den letzten Tagen erlebt habe. ;)