grizzly999

Auf Windows und Programme gibt nicht mal Microsoft selber dem User Schreibzugriff (außer einem Unterordner und ein oder zwei Dateien im Wndows). Warum sollte man das also tun. Wenn man da gut und sicher sein will, dann am besten das Security Handbook runterladen, dot stehen die standardmäßigen und empfohlenen Einstellungen bis hin zum einzelnen Ordner und teilweise für einzelne Dateien drin ;) grizzly999

Restricted Groups gehen nicht über die SID (sonst könnte man auch nie erfolgreich die Hauptbenutzergruppe mit dieser Policy beschicken) grizzly999

Wireshark. Auf einem 2000/2003 Server nehme ich meistens den mitgelieferten Netzwerkmonitor und installiere den nach.

Bin da jetzt mit meinem Latein auch am Ende. Was ich in so einer Situation mache: einen Netzwerkmonitor anwerfen, und schauen was geht. grizzly999

Nun, so hat er das ja versucht, wenn ich es richtig sehe. Laufen da unterschieldiche Sprachversionen in den Domänen? grizzly999

Dagen wir's @suf mal so: Hiermit verwarnt. Wir wollen sowas und solche Leute hier nicht im Board. Nochmal solch' ein Verstoß gegen die Netiquette und den Anstand und dein Account ist gesperrt :mad: grizzly999 /Edit. Ui, marka auch noch. Also, das war eine Breistseite, die dir zeigen sollte, was hier geht und was nicht!

Okay, waren eher DM-Preise https://pricelist.checkpoint.com/pricelist/US/PLUSGeneral/generallist.jsp Aber Zusatzsoftware für Enterprisemanagement muss ich zahlen, und für das muss ich extra zahlen, udn vielleicht noch für das, sogar das Real Time Upgrade Modul kostet 1.750$ :shock: (bei Microsoft nennt sich das glaube ich "Automatic Updates" und kostet nix :D ) Also wenn wir hier nicht nur von 50-100 Usern reden, dann wird der ISA bis 500 und drüber immer günstiger ;) grizzly999

Ich meinte damit vor allem die Lizenzen und redete ungenannterweise von größeren mittelsständischen Unternehmen, also > 1.000 User die das Ding benutzen. Und da ist wohl auch bei Checkpoint egal, was da drunter läuft, wenn du mit 1.000 User raus willst, brauchst du (ab der 251. IP) die unrestricted license, was kostet die gerade? :p grizzly999

ISA 2004 und 2006 sind ja schon ein ziemlich anderes Konzept als ISA 2000 und man merkt deutlich, dass man hier viel bei den Hardwarefirewall Herstellern abgeschaut hat, aber doch noch nicht so hundertprozentig. In manchen schwierigeren Szenarien muss man mächtig Hirnschmalz verdampfen und manchmal auch "rumtricksen", um das zu erreichen, was man bei anderen mit 3 Klicks einrichtet. Ich habe das erst neulich leidvoll erleben müssen, als ich bei einem größeren Kunden die Back-End BenHur Firewall durch einen ISA 2006 abgelöst habe. Wenn ich das Hirnen und Rumprobieren jeden Abend in meiner Testumgebung dazurechne, um das zu erreichen, was in der BenHur in weniger als 2 Minuten eingestellt war, habe ich an dem Projekt weniger in der Stunde verdient, als ein Erdbeerpflücker :( Ich kann jetzt wie gesagt für die meisten o.g. Produkte weder Pro noch Kontra anführen, magels Kenntnis. Und eine Empfehlung für einen ISA an den TO soll dieser Beitrag auch nicht sein, denn es gilt immer bei einer Beratung, die einzelnen Bedürfnisse, Anforderungen, Gegebenheiten und KO-Kriterien festzustellen, um dann zu sagen "In diesem Fall wäre XY das am besten geeignete Produkt". Mag es aber als Anhalt dienen, sich über das eine aoder andere Produkt schlau zu machen und dann mit den paar Fakten hier zu vergleichen ... Und abschließend: Ich stelle hier im Forum vor allem bezgl. des ISA immer wieder fest, dass Microsoft indirekt noch an einer Krankheit leidet, und das ist die grafische Oberfläche. Jeder, der XP am laufen hat (oder 2000 oder NT) und es auch hinbekommt, einen 2003 Server aufzusetzen (ist ja wohl wenig ein Problem), fühlt sich dank der ganzen grafischen Oberflächen und des selbstzuerkannten Fachwissens berufen, einen ISA, eine, Exchange, einen SQL, einen Sharepoint usw. aufzusetzen, und sich da durchzufroschen. Frei nach dem Motto, kann ja nicht schwierig sein, das bringe ich mir schon selber bei, wie den Server ja auch. Das mag für den Exchange ja noch angehen, keine Mails, ok, nicht so dramatisch, aber wenn es um den ISA geht, dann geht es als FW um Sicherheit, und da hat man mit ein paar falschen Klicks dann doch (meist auch noch unbemerkt) das Tor zur Hölle da draussen geöffnet. Was will ich sagen: auch wenn's Bunti-Klicki ist, der ISA ist ein Sicherheitsprodukt, und man sollte vor dem produktiven Einsatz sich wirklich gründlich damit auseinandergesetzt haben. Manche Konfigurationen, die mir hier im Board begegnet sind, weil es ging nicht wie man wollte, da hab ich dann mal hier reingeklickt und diese Ports da aufgemacht, oder mal alles aufgemacht zum Testen, ließen mir sich die Nackenhaare sträuben HTH grizzly999

Um nochmals auf den Ursprungsbeitrag zurückzukommen, das ist ja Anliegen des TO und Intention des Boards ;) : Ich kenne jetzt keinen direkten Vergleich mit den o.g. Produkten. Tom Shinder hat 2004 ausführliche Vergleiche in seiner schon in diesem Thread angesprochenen "ISA-Bibel" zu einigen gängigen Firewalls, meist im Enterprise Segment, angestellt. Aber die Produkte, die der TO genannt hat, sind da nicht dabei, sondern CISCO Pix (mit Sicherheit damals noch nicht auf IOS 6.3 oder höher bezogen), Checkpoint, Netscreen, WatchGuard, SonicWall, Symantec Enterprise Firewall, Blus Coat SG, und in Kurzform IPChains/IPTables und FWTK/ipfirewall. Sehr interessant in dieser ausführlichen Form. Dabei kommt der ISA immer am besten weg, wobei man solche "Werbeeinblendungen" von Thomas Shinder immer etwas filtern muss, denn er sieht IMHO alles durch eine reine rosarote ISA-Brille. Nichtsdestotrotz, der ISA ist auch mein perönlicher Favorit, denn im Preis-Leistungsverhältnis, selbst wenn man Hardware und drunter liegenden Server mit einrechnen muss, schlägt er eigentlich alle anderen Firewalls/Proxys. Bei den ganzen Herstellerprodukten muss man meist mit beiden Händen, und die müssen groß wie Klodeckel sein, tief in die Portokasse greifen, um die Lizenzen für die Clients zu bezahlen. Bzw. wenn man die selben Lizenzen wie bei Microsofts ISA haben will. Bei dem nämlich zahle ich keinen Cent für irgend einen Client, nicht für internen Zugriff und nicht für externen Zugriff. Da hält bloss noch Open Source mit, die schlage ich mit anderen Argumenten, nämlich Funktionsumfang, und der ist ziemlich fett beim ISA, und im zu erwartenden Support. Der besondere Charme des ISA liegt danaben aber auch darin, dass er sich nahtlos in die Microsoft Familie integriert, angefangen von der AD-Integration, über spezielle Publishing Rules für Exchange (OWA, OWA over HTTPS), OMA, Sharepoint, WebServices, die Verwaltung und Bedienung, Look and Feel bis hin zum Patchmanagement u.a. Da macht ihn aus meiner Sicht in einem Microsoft dominierten Netzwerk nahezu unschlagbar. Und das erkennen auch immer mehr Firmen/Organisationen. Die Gründe andere Firewalls als den ISA in einem Unternehmen zu verwenden, welches vor allem auf Windows basiert, sind althergebracht, von selbsternannten Security-Experten, und eigentlich überholt. Viele dieser Netzwerker und Firewaller (und kenne in der Kundschaft genügend), sind alte Hasen, bei denen Microsoft und Sicherheit nicht zusammenpasst. Daher kann Microsoft nach deren Meinung auch keine sichere Firewall bauen. Tun sie aber seit 7 Jahren, und mit ISA 2004 und 2006 auch stark verbesserte. Stattdessen schmeisst man lieber Checkpoint 40.000, 50.000 und mehr Euros nach, um nachher dann doch einen ISA zu betreiben, erst als reiner One NIC Proxy, später, weil OWA und OMA halt doch viel einfacher, schneller und besser mit einem ISA zu realisieren sind, dann auch als FW. Naja. Schafft ja auch Arbeitsplätze :D Nein, ich bin kein zweiter Tom Shinder, ich sehe auch die Kritikpunkte, die ich als (selbsternannter) ISA-Experte habe. Zum einen im VPN-Bereich: der größte Vorteil des ISA gegenüber allen anderen ist, man hat zumindest mit Microsoft Clients den VPN-Client schon integriert. Aber was die Encryption angeht, da fußt das ganze auf dem drunterliegenden OS, und da bietet Microsoft bisher nur PPTP mit max. 128 Bit an oder 3DES mit 168 Bit. Da haben fast alle anderen mehr und bessere Auswahl. Da sollte Micirosft mal was tun. Fortsetzung folgt .....

Done! :) (Das Board vergisst nix, ich schon :D) Jo, daher unsere Antwort (damals und heute) immer noch die gleiche ;) : Maximal den anderen Admin in die eigene domänenlokale Admingruppe stecken, mehr geht da nicht. grizzly999

Okay, geb's zu, können die in der Form auch noch nicht soo lang, bei der Pix so richtig ab IOS 6.3, IIRC. Das war so vor ca. 3 Jahren als das rauskam, also inetwa so wie das Erscheinungsjahr von ISA 2004. Als ich damals aber die Liste gelesen habe, was das IOS alles kann, dachte ich noch "Meine Güte, da kann sich der ISA ja noch teilweise davon was abgucken :shock: " grizzly999

Sorry, my fault, nicht genau genug gelesen den Aufbau :o Universal Group Membership geht nur im Forest, aber das ist ja offensichtlich ein external trust von zwei Domänen in verschiedenen Forests, oder?! grizzly999

Hallo Velius, Ich glaube, so denkt ASR auch, aber vermutlich (beide, weiß ich nicht?) ohne sich jemals mit den Produkten, über die man redet, jemals näher angesehen zu haben. Dann auch ab auf die CISCO-Homepage, die haben eine ergiebige Suchfunktion ;) Cisco Systems, Inc grizzly999

Das weiß ich sehr wohl, da brauche ich nicht mal eine Link ;). Aber wenn man nummerierte Layer verwendet (Layer1, Layer2, dann beziehen sich diese immer auf das OSI Modell) Wir reden hier schon vom selben? :suspect: Application Layer Filtering hat nichts zu tun mit einer Benutzerauthentifizierung. Dabei geht es um andere Sachen, und um es genau zu nehmen, eine Benutzerauthentifizierung hat mit ALF gar nichts zu tun. Und wenn du meist, dass eine CISCO FW per Design kein ALF kann, dann suche doch einfach mal nach dem Stichwort bei Cisco Systems, Inc grizzly999

Anmerkung: Nun, ALF (Application Layer Filtering) ist eine Layer 7-Geschichte, nicht Layer 4 ;) Layer 4 ist popelige Port-Filterung. Und Microsoft's ISA ist mit Sicherheit nicht die einzige FW von den ganz oben 4 genannten Herstellern, die das kann. Ich kenne mich mit Quid nicht aus, ich weiß - sorry - nicht mal, wer oder was Astaro ist, aber CISCO kann ALF schon mit der PIX, die ASA sowieso, von den großen Catalysts und anderen CISCO-Produkten (teilw. dort Zusatz-SW zu kaufen) rede ich mal nicht. Dennoch präferriere ich ISA ... grizzly999

:rolleyes: Off-Topic:Mei, was für eine Tüte, woher hat er seine Beobachtungsgabe Zitat: Ich weiss nicht, ob ich schon über 3.000x Server/DCs unter Windows 2003 Installationen bin, oer knapp drunter, aber ich bin noch nie nicht auf so eine Auswahl gestoßen. Der mag was von Hindus oder JNDI, oder wie das heißt, von JAVA und SUMATRA verstehen [sarkamus OFF], aber nicht von 2003. Punkt. Aus. Bastsa. Und das sage ich hier als ein von Microsoft seit 4 Jahren ohne Unterbrechung zum MVP - Server Directory Services Ernannter (Hui, ich glaube das ertse mal, das ich diese Keule zücke, aber da schwillt einem doch der Kamm :nene: ) grizzly999

Übliche Frage: Steht auf dem Client was in den Logs? Steht auf dem Zielserver was in den Logs? Ich kann im Moment nur soviel beitragen: Ich schaffe mit diversen VISTAs und Server 2008, und ich komme per RDP auf alle Terminal Server in den unterschiedlichsten Netzen. grizzly999

Wenn das tatsächlich so drin steht, sieht es schlecht aus. Mit den Schema-Admins und Organisations-Admins müsste es gehen, WENN sich die Domänen mindestens im Windows 2000 pur Domain Functional Level befinden. Aber mit den Domänen-Admins wird das nie klappen, denn eine Globale Gruppe kann immer nur Mitglieder aus der eigenen Domäne beinhalten. grizzly999

Du machst jetzt nicht den eindruck, als würdest du dich mit dem ISA grundlegend auskennen, was du unbedingt nachholen solltest, denn der ISA ist eine Firewall (mit Proxy und allem drum dran), aber wie jede andere Firewall ist sie nur so sicher, wie sie bedient wird. Daher empfehle ich, von außen nur benötigte Ports auf den ISA weiterzuleiten, sonst könnte da im Netz ziemlich schnell alles mögliche drin sein, was man nicht möchte. Und um auf den FTP zu kommen: beim ISA gibt es kein Portforwarding und keine Ausnahmeregeln. Verbindungen von extern werden mit Serververöffentlichungsregeln nach innen weitergeleitet. Ein paar Grundlagen und Anleitungen findest du unter anderem hier: ISA Server FAQ grizzly999

Du hast ein ähnliches Problem, aber nicht dieses Problem. Dann halte dich bitte gleich in deinem ersten Beitrag an die Boardregeln, die du hoffentlich vorher gelesen hast. http://www.mcseboard.de/rules.php?u=4870#nr7 Alles andere stiftet nur Verwirrung und bringt keinem was, ausser uns Moderatoren Arbeit. Danke :) Ich habe den Beitrag abgetrennt

Hallo und willkommen im Board :) Ist in den Iegenschaften des RDP Clients zufällig ein TS-Gateway Server eingestellt? grizzly999

Mit Verweis auf die Boardregeln geschlossen. grizzly999

Dann nimm halt die von der 2000 CD, das kann ja nicht so schwierig sein, oder?! :rolleyes: grizzly999

@netzguru: Wie Christoph35 sagte, nimm die FTP-Regel des ISA und nicht was selber gebasteltes. Der ISA unterstützt von Haus aus FTP im Active Mode und im Passive Mode, kein Grund, nur einen bestimmten Modus zu wählen. grizzly999