micha42

Bei "Praktikabel und zu bedienen war das auch nicht." fällt mir was ein:

http://www.golem.de/news/it-sicherheit-doom-auf-gehackten-druckern-installiert-1409-109254.html

;)

Natürlich ist es schön, zu wissen, welches Kabel wo langgeht. Letztlich musst du aber doch eher wissen, welches Gerät auf welchem Port am Switch hängt.

Du kannst MAC-Liste aus einem Switch exportieren:
telnet (IP-Adresse vom switch) -f c:\daten\test.txt (jetzt wird die ganze Telnet-Sitzung geloggt dadurch brauche ich nicht mitschreiben)
show mac-Address
exit
Jetzt mit Excel eine möglichst vollständige MAC-Liste dagegenlaufen lassen.
Ich hab den Advanced-IP-Scanner genommen, der listet Hostname, IP, ,MAC auf.
Dann die beiden Dateien in Excel importierten und mit
=SVERWEIS(A4;'C:\Daten\[test3.csv]test3'!$A$1:$C$516;2;)
vergleichen lassen
=SVERWEIS(MAC-Adresse, die gesucht wird; Datei und Bereich des Adv-IP-Scann-Exports;Rückgabe)

ach ja: vorher n bisschen formatieren alles als Text und so

Moin,

ich hab schon lange mit DPM gearbeitet und nie gesehen, dass das irgendwelche Filter im Bericht der Bandverwaltung existieren. Ich hab gerade auch nochmal nachgeschaut. Da gibt es keine Filter.

ähm, bist Du sicher, dass die beiden fehlenden Schutzgruppen auch Bandsicherung machen?

Michael

Ich glaube, die haben auch kein Diskettenlaufwerk gefunden und dann einfach die Disketten leer gelassen...

;)

oder Du musst mal mit einem undelete-Tool drübergehen?

:D

Super-Veranstaltung!

die Diskette hab ich liegenlassen, ich habe nur noch in irgendwelchen uralten Servern ein Diskettenlaufwerk. da steck ich doch keine unbekannte Diskette rein.

@Dr.Melzer: tröste Dich: das hat fast keiner verstanden.

Michael

Moin,

nach Netto 7 Tagen Arbeit bin ich fertig.

(mit den Nerven aber auch mit dem Upgrade)

Da ich lediglich eine recht lapidate Beschreibung von MS gefunden hatte, der ich misstraut habe, habe ich erst mal meinen Backupserver in VM virtualisiert und zwei Probeläufe gemacht (das war gut so!)

DPM2010 lässt sich nicht direkt migrieren sondern nur auf SCDPM2012 (ohne SP1 und R2). Daher ein etwas längerer Weg.

Hier der Upgradepfad:

Es gibt 9 Schritte:

1. Backup DPMDB.
2. Add Microsoft$DPM$ACCT to the ACL for the DPMDB folder, if it doesn’t exist. Add full control to the user.
3. WMF (WindowsManagementFramework) Windows6.1-KB2506143-x64 installieren
4. DataProtectionManager2010-KB2615782 installieren
5. Systemcenter DPM (ohne R1 und ohne SP1)
6. Updaterollup 3 für DPM (ohne R1 und ohne SP1)
7. SP1
8. Updaterollup7 für Systemcenter-DPM-SP1
9. R2
10. Updates (Updaterollup 3 einspielen (u.a. geht sonst kein Backup von Win2003) + SQL2008R2SP2...)

Wer da mal tätig werden muss, kann sich ja bei mir melden, ich habe noch eine ausführliche Beschreibung.

michael

PS: für das Anbinden eines Windows 2003 an Systemcenter DPM: http://blogs.technet.com/b/dpm/archive/2014/06/11/details-on-protecting-windows-server-2003-computers-using-data-protection-manager-2012-r2.aspx

gelesem und für "gut" befunden. Das ist dann die nächste Stufe...

m

juhuuu.

nach nur 3,5 tagen (netto) habe ich die Testumgebung umgestellt.

Da waren so viele Irrwege und Zwischenschritte, die nichts gebracht haben (16 Seiten Doku), dass ich gerade drüber nachdenke, den Test zu wiederholen.

naja 16:45 das war knapp vor der Deadline.

Michael

Ich kann Dein Leiden gut nachvollziehen.

Nachdem ich das Elend in meiner Testumgebung durch hatte (inclusive Reporting geradebiegen, Konsistenzprüfungen nach jeder Teilmigration usw.), habe ich für die Produktivumgebung eine Neuinstallation gewählt. Die war in 3 Stunden erledigt - die Migration hätte mindestens 3 Tage gedauert :thumb2: .

Ey! Du sollst mir Mut machen ...

;)

Ich bin in der Testumgebung nun seit Montag dabei. Netto 2,5 Tage. Ich bin aber erst bei der Installation von SP1 und scheiter an den angeblich nicht laufenden ReportingServices (die aber laufen)

Ich bin gerade 3mm vor dem Aufgeben und dem Neuanfang á la Dukelmann. Leider müsste ich dafür meine Datenbank wegschmeißen, Das würde mich sehr ärgern.

Naja ma gucken. heute gebe ich mir noch, dann zieh ich die Reißleine.

Michael

Moin Daniel,

das mach wohl sein. Früher war eben alles anders.

:)

Gerade kämpfe ich mit den SQL-Reporting-Services ...

Oh man den Upgrade-Pfad von MS kann man so was von vergessen. Die beschreiben das in 3 Zeilen. Ich jetzt schon auf 14 Seiten. Und ich bin erst beim SP1

Michael

Hallo Daniel,

danke für die Antwort. Ich dachte das SP1 gäbe es auch ohne das Gesamtpakt. Aber das scheint der neue Trend zu sein, dass das Sp eingespielt wird, indem die Software aus einem Gesamtpakt überinstalliert wird.

Das ISO kann ich auch aus unseren Volumenverträgen beziehen, dann habe ich immerhin keine Eval. sondern eine Vollversion. (mit der Umwandlung von Eval auf Full hatte ich beim DPM2007 einen großen Reinfall).

Dieses Update stellt sich auch deutlich schwerer dar, als in der Doku beschrieben. Ich kann glücklicherweise auf eine Testumgebung zurückgreifen, in der ich das im Moment durchführe.

Michael

moin,

für ein Update eines alten DPM2010 ist der Migrationsweg über SC-DPM zu SC-DPM-R2.

Als Zwischenschritt muss ich noch das SP1 installieren, dass es scheinebar nicht mehr im Download gibt. Ich finde immer nur eine Eval-Version die dann aber 9GB groß ist und das ganze Systemcenter beinhaltet.

Hat jemand ne Idee, wo ich nur das SP1 für SC-DPM bekomme?

Danke

Michael

Ich wünsche Euch viel Spaß. Ich musste leider wegen einer Knieverletzung absagen.

"Du sollst da Antanzen" war anders gemeint. ;)

Gute Besserung

Moin

Die Agenda ist online :)

http://www.cim-lingen.de/agenda/agenda.html

Man sieht sich in Lingen

Mark und Nils parallel. NEIN, das geht nicht.

Moin,

für diese Aufgabe würde ich an Deiner Stelle nicht mit den einzelnden Maßnahmen anfangen. Das ist zwar auch wichtig, aber aktionistisch.

Ließ Dir die Konzepte durch:

http://www.bfdi.bund.de/bfdi_wiki/index.php/Technische_und_organisatorische_Ma%C3%9Fnahmen

schreib den ist-Zustand auf, formuliere den soll-Zustand (und geh damit zur GF)

Hier gibt es eine kleine Hilfe für die Zustandsbeschreibungen: https://www.datenschutz-guru.de/2011/07/so-erstellen-sie-schnell-eine-ubersicht-der-masnahmen-nach-%C2%A7-9-bdsg-mit-muster/

und hier der Text, wie er im Gesetz steht (ok, Anlage zum Gesetz): http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html

Erst anschließend kannst Du anfangen und aus der Differenz zwischen ist und soll die Maßnahmen ableiten, die du dann priorisierst und abarbeitest.

Michael

Bei uns (Exchange2007) gehen Weiterleitungen nur, wenn ich die Ziel-Adresse vorher im Exchange unter "Empfängerkonfiguration / E-Mail-Kontakt" angelegt habe. Das finde ich gut, weil ansonsten auch nur wild unsere Mails weitergeschickt würden.

Trotzdem probier das mal aus.

Michael

Willst du nur die oben genannten Themen in das Sicherheitskonzept aufnehmen?

Wie ist es mit z.B. Passwortrichtlinien; Provisioning (User zu- und Abgänge); Benutzerrechte; Administrative Konten; Serversicherheit; Physikalischer Zugriff; ...

Wenn man es sehr umfangreich machen will kann man Themen wie Backup oder Verfügbarkeiten auch aufnehmen.

Daher ja auch mein eingangs erwähnter Verweis auf Anlagen zu §9 BDSG. Das gibt m.E. eine gute Struktur, an der man sich langhangeln kann.

Letztlich: Wofür schreibe ich ein Sicherheitskonzept? Doch zum Vorzeigen. Wenn also zB ein potentieller Kunde unser Konzept sehen will, dann will er sehen, dass wir diese Punkte abgearbeitet haben.

Der Rest der Diskussion ist hier etwas aus dem Ruder gelaufen.

wo wir aber schon wieder OT sind:

Sunny, ich gebe Dir voll Recht

Zahni, es ging ja um das Thema USB-verhindern, also Dataleak, also upload in irgendwelche Cloudspeicher. Ich glaube nämlich, wir haben den Kampf gegen Datendiebstahl auf technischem Weg einen Riegel vorzuschieben durch diese Dienste verloren. Klar kann man alles dicht machen, aber Sicherheit ist immer auch eine Abwegung. Allen Buhrufen zum Trotze müssen die user ja auch arbeiten können. (was zwar ärgerlich ist, aber nicht zu ändern ;) )

Michael

Filtert der auch RAR oder ZIP weg? Das kann ich bei mir nicht deaktiveren und dann hab ich den Salat wieder. Und: filtert der auch Uploads aus einer https-Session?

;) nix für ungut

Bist incl. XP gilt der von micha42 gepostete Link natürlich.

 

Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür.

punkt a wusste ich noch gar nicht. Gut zu wissen.

punkt b Wir machen das über WSUS und das Scripten hält sich in Grenzen. Ich stelle meinen usern gern auch einen zweiten Browser zur Verfügung, damit die 1. ihre Vorlieben zumindest teilweise leben können aber vor allem 2. damit ich bei dringenden Warungen einen Browser zu meiden Ausweichmöglichkeiten habe.

EDIT: mir ist ncoh was aufgefallen:

1. IE 9-11 sollte vereinheitlciht werden (natürlich auf 11)

2. USB zukleben oder deaktivieren. Gute Idee und was ist mit Dropbox und Co? alle Clouddienste kann man gar nicht wegfiltern.

Moin,

als Einführung zum thema würde ich Dir mal die Seiten des BSI empfehlen (Stichwirt Grundschutz). Hier kann man auch eine Struktur für das Sicherheitskonzept ableiten.

Auch der Anhang zum §9 BDSG ist eine gute Möglichkeit ein Konzept zu entwerfen.

Aber wenn Du in das Thema einsteigst, wirst Du schnell merken, dass hauptbenutzer quasi Admins sind. siehe http://www.gruppenrichtlinien.de/artikel/wie-werde-ich-lokaler-administrator/

lass das ;)

Michael

na dann lag ich ja richtig, dass ich die Frage bestimmt falsch verstanden habe ;)

Danke werd ich aufnehmen!

Michael

hallo Daniel,

wir reden über:

Microsoft, VMWare, Adobe, IBM, SAS, STATA usw

Was man eben so kauft im Laufe der Zeit

Windows 2012 Datacenter, und alles ältere bis hin zu den Clients mit Win7

Server: SQL, Exchange, DPM, Systemcenter (Volumenverträge)

User-Software rauf und runter (Volumenverträge)

IBM SPSS Netzwerklizenzen

Das oben kannst du Dir denken, daher meinst Du bestimmt was anderes, was ich gerade nicht sehe, oder?

Michael

die neue IT-Firma gehört der momentanen "alten" Firma zu 100%. Muss ich dann die Lizenzen übertragen, oder geht das so?

Michael

Kommt ja doch noch einiges zusammen, an das ich nicht gedacht habe. Lizenzen und Betriebshaftpflicht waren noch nicht in meinen Überlegungen

nee, die beiden Firmen können nicht in der gleichen Gesellschaftsform betrieben werden und das die IT nicht in der alten Firma bleibt soll wohl nach außen die Unabhängigkeit demonstrieren.

aber das ist ein gutes Stichwort, das mich auf ein anderes Thema gebracht hat: Muss externer IT-Service nicht evtl. ausgeschrieben werden? Das muss ich nun aber wirklich mal mit einem Juristen besprechen... (oh man, woher kriegen...)

Michael

Moin,

wenn wir eine große Ausschreibung gewinnen (und es sieht gut aus) dann überlegt mein Chef folgende zu tun:

Aus juristischen Gründen kann die Ausschreibung nicht in unserer Firma durchgeführt werden, also wird eine neue Firma gegründet, Damit sich die neue und die alte Firma IT-Service bei der alten IT-Abteilung einkaufen kann wird diese in eine dritte Firma ausgegliedert.

(ähh verständlich? Ich bin auf dem Gebiet neu)

Jetzt würde ich ungern blauäugig alles mitmachen sondern gern schon mal überlegen, was meine Abteilung so alles bedenken muss. Gibt es hier irgendjemand mit Erfahrung in dem Bereich?

Ich weiß: keine juristische Beratung hier, aber ein paar Stichworte im Sinne von "denk an dies" oder "Abrechnung machen wir so:..." oder da *link* gibt es was zu lesen.

Oder per *nickname*@mcseboard.de wenn es dann ganz was kritisches ist ...

Wäre nett

danke

Michael