soulseeker

Wir nutzen tatsächlich schon diverse Cloud-Dienste, u.a. für "Next Gen" AV mit den Schlagwörtern "Managed Detection ... " und "AI blabla". Da kann ich aber überhaupt nicht beurteilen, wie gut das tatsächlich funktioniert, da wir gleichzeitig auch die Edge-Security stark erhöht haben. sowas gab es hier auch jahrelang, auch ein Wust an service-accounts als Do-Admins, wo keiner mehr wusste, wozu die mal da waren.

Na da habe ich ja ne Diskussion angefangen 🙂. Danke auf jeden Fall für eure Beiträge und „Erlebnisberichte“. Bin mal gespannt, wohin das noch bei uns führt.

Nein, konkrete Fragen habe ich tatsächlich nicht. Mich interessiert eigentlich nur, ob sich auch andere Unternehmen in unserer Größenordnung an diese Security-Konzepte herantrauen. Das Problem hier ist z.B., dass es zwar eine eigene (kleine) Security-Abteilung gibt, die restlichen „Admins“ aber diese typischen „Schweizer Armeemesser“ sind, die sich um alles kümmern müssen. Entsprechend unspassig ist es halt manchmal, sich mit Tier, privilege access workstation, 2-3Fa und anderen Security-Hürden auseinandersetzen. Aber letztlich wollen wir ja auch nicht irgendwann verschlüsselt in der Ecke sitzen.

Na die Richtung stimmt schon. Wir haben es halt implementiert, aber in der Praxis ist man momentan mehr damit beschäftigt, dadurch auftretende Probleme und Hindernisse zu beseitigen. Bisher habe ich auch noch keine externe Firma gesprochen oder Consultants getroffen, die dieses Modell im Einsatz gesehen haben oder selber nutzen. Da auch momentan Powershell remoting nicht durch den Tierlevel eingeschränkt ist, bzw. man wohl nicht so recht weiß, wie man das machen soll, ist die Sicherheit vielleicht auch etwas trügerisch.

Ich frage halt auch deswegen, weil man hier tatsächlich lange eher "rustikal" unterwegs war und jetzt in relativ kurzer Zeit mehrere Umstellungen durchzieht. Das klappt halt nicht immer ganz reibungslos. Primär würde mich mal interessieren, wie die Meinung hier z.B. zum dreistufigen Tier-Modell als Security-Basis für administrative Angelegenheiten ist. Ich bin da manchmal etwas zwiegespalten, da ich dadurch teilweise länger damit zu tun habe zu rätseln, warum mal wieder irgendwas nicht geht, als mit der Aufgabe selber.

Moin zusammen, ich habe da mal eine grundsätzliche Frage zum Thema "Security eurer Admin-Accounts", besonders bei Firmen zwischen 500-5000 Mitarbeitern. Es gibt ja "rustikale Wege" mit dem Standard-Administrator, der sich überall anmelden darf und seinen Passwort-Hash überall hinterlässt, bis hin zu Admin-Accounts im Tier-Level (t0 - Domänenebene, t1 - Server-Admins, t2 - Client-Admins), Privileged access Workstations, die gekapselt z.B. nur die DCs administrieren können, LAPS, 2FA usw. Die Frage kommt jetzt vielleicht etwas plump daher, aber mich würde mal interessieren, wie es bei anderen Firmen/IT-Abteilungen so läuft, wenn es um das Thema Security geht. Hier ist das Thema seit einiger Zeit sehr hoch aufgehangen, daher habe ich persönlich so ziemlich mit allen den genannten Themen zu tun, was einem das administrative Leben natürlich nicht einfacher macht. Viele Grüße Marcel

Danke euch. Irgendwelche Tools sind nicht installiert, ich versuche mal mein Glück mit einem ISO.

23H2 in diesem Fall. Windows Update Online bietet auch nichts an. Dann wundert mich das WSUS-Verhalten nun nicht mehr, frage mich aber, ob und wann sich an der Situation noch was ändert. 22H2 lädt sich mein 21H2 Client ja auch nicht.

Ja, sorry, falsch ausgedrückt. Die Enterprise Clients (derzeit 21H2) fordern die bereitgestellten Funktionsupdates gar nicht erst an, auch im Report sind die dort "nicht erforderlich". Die Pro Clients hingegen fordern das Update an und ziehen es auch. Ich habe schon den lokalen Softwaredistribution Ordner gelöscht, mit wuauclt /detectnow /reportnow einen neuen Bericht geschickt, aber das bringt auch nichts. Das Problem betrifft 22H2 und 22H3.

Moin zusammen, ich frage mich seit geraumer Zeit, warum der WSUS nur Win11 Pro die neuesten Funktionsupdates anbietet, z.B. 22H3. Win11 Enterprise fordert nur die letzten cummulativen Updates an. In der Update-Beschreibung von z.B. Windows 11, version 22H3 x64 2024-01B stehen u.a. auch die Business editions, damit wäre Enterprise doch eigentlich abgedeckt. Kann ich da noch irgendein anderes Update aus dem Store downloaden? Oder muss ich diese Version per ISO aktualisieren (wäre auch eine Möglichkeit, da es sich zumeist um VMs in einer VDI-Umgebung handelt). Mich würde aber auch mal interessieren, ob das einfach "by design" so ist. Danke, viele Grüße Marcel

tja, was soll ich dazu sagen. Ich bin halt nur der "Umsetzer", nicht der "Entscheider" :)

Ich halte das auch für eine sehr gute Idee, aber leider hat sich das hier bisher nicht durchsetzen lassen. Ich spreche das aber nochmal an. Ich wäre auch dafür, den Mailflow etwas zu vereinfachen.

ok, ich danke euch für den Input :)

Sorry, Sophos XGS :) Die benutzen wir ganz gerne noch wegen der Mail-Quarantäne und Anlagenverwaltung. Ich werde aber nochmal die Diskussion anregen, ob wir das nicht evtl. auch auf den NSP umlegen.

Wir nutzen im ersten Step den NoSpamproxy, der aber noch nie gestreikt hat. Die Mails laufen dann weiter in eine Sophos UTM, wo die Antispam-Engine momentan öfters mal "hängt". Da weiß ich leider momentan noch nicht, wie ich da die ausgehenden Mails überwachen, bzw. unser PRTG antriggern könnte.

Hallo zusammen, hier läuft vor unserer Exchange Farm ein zweistufiges Antispam-Konzept mit zwei unterschiedlichen Appliances, durch die Mails durchgeleitet werden. Leider kommt es (zwar selten) schonmal vor, dass die Antispam-Engine bei einer der Appliances streikt. Der Dienst läuft dann weiter, aber der Mailspool verarbeitet dann keine Mails mehr, d.h. im Exchange kommt nichts mehr an. Das ist letztens erst nach mehreren Stunden aufgefallen. Zum Monitoring setzen wir u.a. PRTG ein, aber da finde ich noch keine Option, eingehende Mails, bzw. das ungewöhnliche Vorkommen, dass mal längere Zeit nichts mehr eingeht zu überwachen. Momentan hätte ich die Idee, das ich die eingehenden Mails pro Stunde auf dem Exchange per Powershell zähle und wenn diese z.B. innerhalb einer Stunde zur Kernarbeitszeit 0 ist, einen Alarm triggere. Eine andere Idee wäre, pro Stunde eine Mail an eine externe Adresse zu senden und dort einen Forwarder auf ein anderes Postfach einrichte. Wenn die dann per Powershell gesendete Mail nicht wieder in ein Alarmpostfach ankommt, dann ebenfalls einen Alarm triggern. Habt ihr vielleicht andere/bessere Ideen? VG Marcel

Das ist eine DHCP-Failoverbeziehung, wo die Pools jeweils zur Hälfte von den einzelnen Nodes verwaltet werden. Die Leases werden nach meinem Verständnis dann jeweils repliziert. Ok, aber ich denke, wir meinen das gleiche :). Ich habe dazu auch nichts "kritisches" im Web gelesen, wollte aber trotzdem hier mal vorher nachfragen. Danke!

Habe ich doch erklärt - weil es jetzt eben noch so ist, mittelfristig wird sich das ändern. Aber ich muss jetzt diesen DC/DHCP/DNS-Server 1:1 tauschen. Der DHCP-Server wird über IP Helper von diversen Routern genutzt, das will ich nicht alles gleichzeitig ändern. Ich kann dem DHCP-Dienst-Server auch nicht die alte IP des DCs geben, da die IP u.a. auch von DNS-Services genutzt wird. Jetzt bitte nicht über Sinn und Unsinn und Warum diskutieren, das ist mir alles selber bekannt :). Mir geht es nur darum, ob ein Tausch eines DHCP-Node unkritisch ist.

Hi zusammen, wir planen im Zuge einer DC-Migration auch, einen DHCP-Node aus einem laufenden Cluster (Aktiv-Aktiv) zu entfernen und den neuen DC dann wieder zu autorisieren und dem Cluster beizufügen. Der neue DC/DHCP/DNS-Server soll dabei wieder die gleiche IP wie der vorherige DC erhalten. Ich habe mal ein bisschen dazu recherchiert und nichts gefunden, was sich da als Showstopper erweisen könnte. Wie sind da eure Erfahrungen? Mir wäre es lieber, wir würden DHCP auf separaten Servern betreiben, aber die Ranges werden von unterschiedlichen Diensten mitbenutzt und die IP des alten DHCP steckt auch in diversen Routern als IP Helper. Daher würde ich im ersten Step erst einmal alles auf einen neuen Server umziehen wollen und die Abtrennung von DHCP später nochmals als separate Aktion angehen. Danke euch, viele Grüße Marcel

Ja, vorher wurden noch diverse Windows-Patches installiert.

ok, gut zu wissen, aber der Problemnode hat den Patch ja nie per WSUS bekommen, da habe ich es direkt per Shell versucht. Tja, bisher leider keinen Erfolg. Ich habe mir das aktualisierte File aus dem Catalog geladen, gleicher Fehler.

Hi@all, ich habe 3 identisch installierte Exchange-Nodes mit cu23, den KB5007409 habe ich per WSUS freigegeben. 2 Nodes fragen den auch ab und haben den Patch installiert, aber ein weiterer will weder den Patch, noch ist eine manuelle Installation aus cmd-Shell möglich. Es erscheint der Fehler "Windows installer does not permit updating of managed advertised products" (Windows Installer lässt das Patchen von verwalteten Produkten nicht zu ). Google spuckt dazu leider nichts brauchbares aus. In der eventlog steht nur: Produkt: Microsoft Exchange Server - Update "Security Update for Exchange Server 2013 Cumulative Update 23 (KB5007409) 15.0.1497.26" konnte nicht installiert werden. Fehlercode 1651. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung zu erhalten: http://go.microsoft.com/fwlink/?LinkId=23127 Im msilog leider auch nichts weiter. Im WSUS-Bericht taucht dieser Patch für den node auch nicht auf. Hat jemand eine Idee? GPOs sind für den msi installer nicht gesetzt. Viele Grüße Marcel

Danke euch für die Anregungen. Watchguard fand ich bis zur Sophos auch immer ganz gut, aber im direkten Vergleich war Sophos eindeutig besser (zumindest bis zu den Performanceproblemen). Ich weiß aber auch nicht, was sich da in den letzten Jahren bei Watchguard so getan hat. Eine Citrix-Lösung setzen wir ebenfalls ein, aber so viele Ressourcen haben wir nicht, um alle Mitarbeiter damit zu versorgen. Fortigate ist mir schon öfters über den Weg gelaufen, ich glaube, das schaue ich mir mal näher an, OPNsense auch.

Ich habe jetzt schon öfters gelesen, dass Sophos wohl die UTM-Reihe auslaufen lässt. Ich bin trotzdem wenig erfreut über Sophos - wir haben die damals ja wegen der angepriesenen Performancewerte gekauft, hatten aber vor der Pandemie nur selten Bedarf für mehr als 50 Homoffice-User. Auf der anderen Seite ist das System wirklich einfach zu bedienen.

Hi@all, ich hatte vor einer Weile schon einmal hier bezüglich einer Empfehlung eines Antispam-Gateways angefragt und tolle Empfehlungen erhalten (die ich hier letztlich auch eingeführt habe - NoSpamProxy), daher versuche ich es direkt nochmal mit einer Frage zum Thema VPN-Gateway, ich hoffe, das ist ok :). Wir setzen derzeit einen Sophos-UTM SG450-Cluster als Edge-FW ein, der auch eine Weile für Client-VPN und Endpunkt für Tunnel gedient hat. Leider ist die Performance vom SSL-VPN sehr schlecht, sobald mehr als 100 Leute verbunden sind. Laut Specs sollen eigentlich viel mehr Usermöglich sein, aber in Foren und vom Vertrieb hört man eher, dass diese Leistungsprobleme bei SSL VPN bekannt sein sollen. Ipsec bekomme ich aber auch nicht performant ans Laufen und habe immer wieder Paketverluste. Dazu kommt noch - der Support ist sehr schlecht geworden, ich warte seit Wochen auf eine Rückmeldung bezüglich dieses Problems. Aus diesem Grund setzen wir derzeit für Client-VPN derzeit auch eine Sonicwall als virtuelle Appliance ein. Diese ist sehr performant, die Konfiguration allerdings nicht sehr einsteigerfreundlich und ich finde das ganze lizenztechnisch vergleichsweise teuer. Der Support ist auch eher naja. Ich schaue mir daher gerade eine Forcepoint NGFW an, damit komme ich aber momentan noch nicht wirklich zurecht. Die GUI gefällt mir nicht besonders gut und es ist (in meinen Augen) alles eher unintuitiv. Ich glaube, Forcepoint ist dafür aber auch eine der günstigsten Lösungen am Markt. Was habt ihr für Vorschläge? Ich suche primär eine Lösung, die ich für Client/Tunnel-VPN verwenden kann und evtl. auch mittelfristig auch als Edge-Firewall einsetzen kann. Die Sophos würde ich dann ggfs. nur noch als Proxy/rev. Proxy einsetzen. VPN-User haben wir momentan ca. 400 zu Spitzenzeiten und User insgesamt am Gateway vielleicht so 1000. Lohnt sich evtl. noch ein Blick in Richtung Fortinet? Was ist derzeit von Watchguard zu halten? Wir haben davon auch noch einen Cluster in Betrieb, aber da ist der Support schon lange abgelaufen und die Hardware ist auch alt - dient nur noch als Notnagel, falls mal gar nichts mehr geht. Danke, viele Grüße Marcel