wznutzer

Guten Morgen, mich würden eure Meinungen zu folgendem Thema interessieren. Für ein paar wenige Geräte (W10 Enterprise - Notebooks) soll die private Nutzung neben dem Home-Office erlaubt werden, wenn es denn von der Sicherheit vertreten werden kann. Da die Lizenzen aus einem MSDN-Abo kommen, die Geräte der Firma gehören und auch nur persönlich genutzt werden, sind beliebig viele Installationen erlaubt. Variante 1) Alles geschäftliche wird in einer Installation "auf dem Blech" gemacht und für die private Nutzung gibt es eine VM. Das funktioniert so lange bis der Nutzer externe Hardware anschließen will. Von der Sicherheit gibt es wenig Bedenken, wenn der User sich an die Richtlinien hält. Variante 2) Beim User wird W10 2x installiert (Multiboot). 1 x geschäftlich 1 x privat. Das hätte den Reiz, dass der User alles nutzen kann. Unter W10 kann man zwar per Bootmanager die Laufwerke nicht mehr zuverlässig verstecken, aber die geschäftliche Installation wäre sowieso per Bitlocker verschlüsselt. Aber es gibt ja die gemeinsame Bootpartition. Könnte sich darüber Malware auf die geschäftliche Installation ausbreiten? Die Wald und Wiesen Malware wohl eher nicht, meines Wissens nach. Variante 3) Die Geräte per Microsoft Intune verwalten. Kenne ich noch nicht im Detail, aber darüber sollen sich ja auch geschäftliche und private Daten trennen lassen. Die Frage ist halt, ob sich privat installierte Malware auf die geschäftlichen Dinge auswirken kann. Privat soll der User alle Rechte haben können und alles machen können. Vielen Dank für eure Meinungen

Danke für den Link .

Als Teilzeitadmin kann ich mich natürlich immer irren . Es gibt ja die Richtlinie "Lokal anmelden zulassen". Da sind Administratoren und Benutzer drin. In den Benutzer (lokal) sind die Domänen-Benutzer drin und in den Administratoren (lokal) sind die Domänen-Admins drin. Ich habe in den Administratoren (lokal) die Domänen-Admins entfernt per GPO. Ich denke Ihr nehmt die Domänen-Admins in die Richtlinie "Lokal anmelden verweigern" auf? Kommt auf das Gleiche raus, oder? Organisatorisch ist es sowieso verboten sich mit dem Domänen-Admin (und einigen anderen) auf Workstations anzumelden bzw. zu arbeiten, die nicht zu den Admin-Workstations gehören. Etwas unbehagen bereitet mir immer, dass sich ein Kollege, der das Adminpasswort kennt, es trotzdem versuchen könnte sich auf einer Workstation mit dem Domänenadmin anzumelden, weil es halt so einfach ist, gehen tut es nicht, weil ja technisch unterbunden, aber eingetippt ist es dann ja schon. Ein Keylogger könnte das loggen. Ist das realistisch? Man sollte sich ja immer klar machen gegen was man sich schützen will, um es nicht zu übertreiben.

Vielen Dank euch für die Antworten. Der Gedanke war tatsächlich sicherheitsgetrieben. Eine Abteilung die besonders schützenswert ist wollte ich abtrennen. Aber je länger ich nachdenke, je mehr zweifle ich an meinem Vorhaben. Was ich bisher gemacht habe Domänenadmins dürfen sich nicht über das Netzwerk an den Workstations anmelden. Ebenso User aus Abteilungen mit denen sie nichts zu tun haben. Emails / Internet über einen TSE. Von diesem aus, dürfen sie sich auch nicht an Ihrem PC anmelden. Sollte jemand auf dem TSE, trotz aller Vorkehrungen, Malware starten, würde diese ja mit den Benutzerrechten der Kollegen laufen, die auf Ihren Workstations Adminrechte haben und somit hätte die Malware auch Zugriff mit Adminrechten. Die Verbindung TSE -> Workstation ist aber verboten. Die Kollegen benötigen Adminrechte (Debugger). RDP geht nur vom userspezifischen VPN (Home-Office) aus. Die lokalen User dürfen sich nicht über das Netzwerk anmelden. In der Firewall (Windows) ist alles abgedreht was ich für möglich gehalten habe. Regelmäßige Scans mit Thor-Lite. Genaugenommen habe ich MIKRO-Segmentierung betrieben, ich hatte nur kein Wort dafür . Danke nochmals. VLANs wären wohl das falsche Werkzeug aus dem Werkzeugkasten.

Hallo, wenn ich mein Netzwerk segmentiere, also z. B. eine Abteilung vom Rest per VLAN trenne, müssen ja trotzdem Zugriffe untereinander notwendig sein. Ich meine jetzt nicht ein Gastnetz oder Testnetz das komplett abgeschottet ist, sondern das produktive Netz soll untergliedert werden. Die Broadcasts werden verringert, aber das ist bei ~100 Clients nicht so sehr das Problem. Mir geht es eher um die Sicherheit. Wenn ich jetzt für eine Abteilung ein separates Segment erstelle, müssen sich diese ja immer noch am AD authentifizieren und auch Fileserver / Drucker im Netzwerk müssen erreichbar sein. Also benötige ich jede Menge Freigaben. Teilweise sollen auch die Clients untereinander Daten per Freigabe austauschen. Überlegungen Es bringt nix, einfach mal so VLANs zu erstellen und dann alles freizugeben, damit wieder alles möglich ist. Datenaustausch muss über zentrale Ablagen stattfinden. Also die Berührungspunkte der Segmente müssen reduziert werden. Das Routing nicht über die Switche machen, sondern granular über eine Firewall. Es ist kein Allheilmittel z. B. gegen "lateral movement", nur halt eine weitere Hürde. Am AD selbst ändert es nichts, das muss sowieso nach Best Practive gehärtet werden. Wenn jemand den Domänencontroller kompromittiert, hilft auch keine Segmentierung. Kann man machen, ist aber in kleineren Netzen eher dann an der Reihe wenn schon alles andere gemacht wurde (Mitarbeiterschulung, AD gehärtet, reduzierte Rechte usw.) Wie seht Ihr das. Macht Ihr das schon von Anfang an, auch in kleinen Netzen? Vielen Dank

Noch zwei Fragen zu FSLogix. Die Profile werden auf einer Freigabe per NTFS-Berechtigungen geschützt. Mehr Anforderungen gibt es nicht. Aber was ist da als performant anzusehen? Ich meine jetzt nicht die Verfügbarkeit, sondern was das Storage können muss? (1) Wenn ich die Profile z. B. auf einem per Speicher ablege der mit 10Gb angebunden ist und das Storage darunter ein Raid10 mit SATA-SSDs ist, läuft es dann mit z. B. 75 User performant? Wäre es denkbar das beim RDP-Connection-Broker unterzubringen? Am gleichen vSwitch sollte die einzige Begrenzung dann das darunter liegende Storage sein. (2) Wie würde man die Profile "aufräumen". Derzeit (lokale Profile) lösche ich 1 x täglich bei allen Usern den Browsercache und den Temp-Ordner. Man könnte das per An-/Abmeldescript machen oder einmal in der Nacht alle *.vhdx mounten und dann bereinigen (z. B. Powershell). Oder bereinigt Ihr gar nicht? Danke

OK, vielen Dank. Dann werde ich das wohl mit FSLogix machen.

Guten Morgen, erstellt man eine Sammlung auf einem RDSH kann man die Benutzerprofile direkt auf dem RDSH speichern oder Benutzerprofildatenträger aktivieren. In diesem Fall wird für jeden User eine separate *.vhdx für das Profil erstellt. Nachdem ich mir die Doku angesehen habe, kann ich mir folgende Fragen nicht erklären. 1) Wenn ich die Benutzerprofildatenträger aktiviere, dann sollte jeder Benutzer immer sein persistentes Profil haben, auch wenn es mehrere RDSHs gibt. Der User landet nach der Anmeldung auf einem RDSH in der Bereitstellung und hat durch die *.vhdx immer sein Profil. Das steht zwar nirgendwo explizit, aber so verstehe ich das. Korrekt? 2) Warum braucht es dann noch FSLogix? Mit der RDP-Cal kostet es seit der Übernahme durch MS nichts zusätzlich. Aber was kann das besser als der Benutzerprofildatenträger? Ist FSLogix vorzuziehen? Vielen Dank bereits im voraus.

Der MX liegt derzeit auf einem hMailServer mit SpamAssassin. Der hMail leitet dann an den lokalen Exchange weiter und dazwischen ist dann Sophos. Das hätte ich gerne weg. Aber klar, würde gehen. Testen? Da bekomme ich Bluthochdruck. Wenn da was durchrutscht? Meine User klicken leider auf alles was nicht bei drei auf dem Baum ist. Am ehesten sagt mir die Strategie doppelt und dreifach zu. Aber ich schaue halt auch immer, dass ich keine Ausgaben generiere die unnötig sind. NoSpamProxy soll gar nicht schlecht sein. Redoxx soll auch nicht schlecht sein, aber dieses CISS? Wie sollen denn da automatisierte Emails jemals wieder empfangen werden?

Guten Abend, ich werde wohl den lokalen Exchange nach Exchange-Online umziehen. Derzeit nutze ich einen Spamassassin mit vielen selber gebastelten Regeln und die Funktionen der Sophos UTM. Das funktioniert ziemlich gut. Bei Exchange-Online ist EOP standardmäßig aktiv und es kann das Microsoft ATP dazugekauft werden. Aber taugt EOP auch was? Ich habe mir jetzt die Doku von Microsoft EOP und ATP angeschaut und bin der Meinung, dass das unzureichend bis unbequem ist. Hat da jemand Erfahrung ob Microsoft da einen so guten Job macht, dass ich nichts anderes benötige? Ich spiele mit dem Gedanken einen NoSpamProxy davor zu setzen. Auf den ersten Blick gefällt mit gar nicht, dass es keine Quarantäne gibt, aber beim weiteren Nachdenken sollte das gar nicht so schlecht sein. Quarantäne ist ja doch ziemlich ätzend. Der User soll nicht und ich will nicht ständig die Quarantäne beobachten. Also, nutzt jemand Exchange-Online ohne eine zusätzliches Tool um Spam zu filtern und ist völlig zufrieden damit? Danke für eure Meinungen. P.S. Ich will es auch nicht ausprobieren, weil eine durchgerutschte Email die hätte blockiert werden können, könnte ziemlich blöde Folgen haben.

Entschuldige die Verspätung. Lt. der verlinkten Übersicht nur wenn es ein E3 oder E5 Abo ist. Was meinst Du mit contitional Access?

Bedeutet das, dass andere Hersteller die Limits nicht ausreizen oder Ubiquiti das einfach nicht beachtet? Bundesnetzagentur: Im Frequenzbereich 2,400 GHz - 2,4835 GHz darf die maximale Strahlungsleistung 100 mW (EIRP*) nicht übersteigen. Im Frequenzbereich 5,150 GHz - 5,350 GHz sind maximal 200 mW (EIRP*) zulässig, während im Bereich 5,470 GHz - 5,725 GHz maximal 1 W (EIRP*) abgestrahlt werden darf.

Dass der MFA-Server nicht mehr installiert werden kann von hier: https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfaserver-nps-rdg Bestandskunden des MFA-Servers können diesen weiterverwenden. Die Lizenzierung von hier: https://docs.microsoft.com/de-de/azure/active-directory/authentication/concept-mfa-licensing

Vielen Dank. Ubiquiti ist vergleichsweise so günstig (im Vergleich zu Ruckus), dass ich das auf einem Stockwerk testen kann. Ich werde berichten wie es geklappt hat.

Hallo, ich würde einen RD-Gateway gerne per MFA absichern. Das Problem ist nicht so sehr wie das geht oder welche Anbieter es gibt. Es ist vielmehr unter den vielen Möglichkeiten eine möglichst gute Lösung zu finden. Die Anforderungen sind: grob 50 User, der 2. Faktor sollte eine App auf dem Smartphone sein (Push-Nachricht oder Eingabe eines OTP), kompatibel mit RDG. Ich liste mal auf was ich mir schon angesehen habe (Homepage gelesen). Evtl. gibt es von euch ein paar Meinungen was Ihr erfolgreich einsetzt. Azure MFA. Die Variante mit dem MFA-Server gibt es nicht mehr und die NPS-Erweiterung ist nur mit einen Azure AD P1/P2 Abo kompatibel. Selbst vorhandene E3-Abos sollen nicht reichen. Duo (www.duo.com) Rohos (www.rohos.com) SecureMFA (www.securemfa.com) OpenOTP (www.rcdevs.com) 40 User kostenlos UserLock (www.isdecisions.com) AuthPoint (www.watchguard.com) www.wikidsystems.com So wie es ausschaut, macht man mit Duo nicht so viel verkehrt. Aber wie immer geht es natürlich auch um die Kosten. Wenn es etwas günstiger gehen würde, warum nicht. Vielen Dank

Vielen Dank für eure Einschätzungen. Ich werde mich jetzt erst mal genauer mit Ubiquiti und Aruba beschäftigen. Bei Ubiquiti braucht man ja eine Controller. Entweder so ein Cloud-Key oder (es ist ja gar nicht so teuer) diese UDM Pro. Diese UDM Pro will ja ein kompletter Security Gateway sein. Macht das Ärger wenn das nur der WLAN-Controller sein soll oder reicht dann auch der Cloud-Key V2 aus? Das Ubiquiti-Universum ist mir noch nicht so geläufig. Vielen Dank

Ich habe Sophos an einem anderen Standort im Einsatz. Funktioniert problemlos, aber ich habe den Eindruck die Funkqualität ist nicht so gut. Es sind allerdings noch keine "APX". In Verbindung mit der UTM findet z. B. kein aktives Band-Steering oder Roaming statt. Das geht nur mit Sophos Central. Aber wenn das jetzt kostenlos ist (nur in der Cloud?) schaue ich mir das noch mal an, ist an mir vorbeigegangen. Außerdem hätte ich gerne WiFi 6 (ax), auch wenn die meisten Geräte es noch nicht können. Aber die bisherigen WLAN-Komponenten habe ich >10 Jahre in Betrieb. Die Sache mit dem Ruckus BeamFlex oder den Smart-Antennen von Zyxel klingt plausibel (die Antennen-Pattern), ob es wirklich so ein Speedbringer ist, weiß ich nicht. Aber die Sophos APs sind nicht so viel billiger wie Zyxel oder Ruckus, dann könnte ich das Feature mitnehmen. Wobei Ruckus die obere Kante markiert. Die hier erwähnten Aruba muss ich noch anschauen. Es hat nicht zufällig jemand Ruckus APs im Einsatz? Deren APs werden anscheinend sogar als Referenz zur Zertifizierung der APs anderer Hersteller verwendet. Aber bei Ubiquiti gibt es 5 APs zum Preis von einem Ruckus .

So groß wird es nicht. Sehr viel mehr als 12 APs werden es wohl nicht, maximal vielleicht 15. Ich denke das ist bei euch klein . Mit Aruba muss ich mich mal beschäftigen. Eine kurze Frage zu Ubiquiti. Kann ich da Gastnetze nicht mit einem VLAN machen? Die UDM Pro ist ja eine komplette Firewall, das macht bei mir schone eine Sophos UTM.

Hallo, ich will bei mir hier im Firmengebäude das WLAN erneuern. Der Plan ist mit den Tools von Metageek zu ermitteln wo die besten Standorte für Access-Points sind. Da es ja schon ein funktionierendes WLAN gibt und die Schwachstellen auch bekannt sind, sollte das funktionieren. Mich würde interessieren welche Geräte ihr einsetzt und auch gut findet. Ich selber nutze derzeit Netgear (>10 Jahre). Bisher sind Ruckus und Zyxel in der Auswahl, weil die ein Antennenkonzept haben bei dem der AP das Signal auf unterschiedliche Weise zum Client schicken kann. So soll die Qualität verbessert werden. Bei Ruckus heißt das BeamFlex und bei Zyxel "Smart Antennen". Ruckus ist zwar etwas teuer, man braucht aber nicht zwingend einen Controller, weil das ein AP übernehmen kann (unleashed). Ubiquiti scheint recht preisgünstig, aber taugt das auch was? Vielen Dank und Grüße

Hallo, zur besseren Planung der IT-Infrastruktur bin ich auf Live Optics gestoßen. Ist das seriös bzw. hat das schon mal jemand benutzt? Immer wenn mir jemand etwas kostenlos anbietet, bin ich etwas skeptisch. Grüße

Das stimmt natürlich nicht. Es sind 0,5 - 0,8 Millisekunden (Kleiner Denkfehler). Mit HRPing von cfos gemessen.

Lt. Doku kommunizieren die Meraki APs mit 4 Ports in die Cloud. Allerdings finde ich keine Aussage, dass über diese Verbindung kein Zugriff auf das Netzwerk erfolgen kann. Ich denke nicht, aber in der Doku steht das halt auch nicht.

Danke. Ich bin noch ganz am Anfang der Planung. 240 1GB Ports für Clients / WLAN / IP-Telefonie / Drucker. Das bezeichnet man wohl als Access- oder Campus Switche. Alle Ports sollen PoE+ (802.3at) fähig sein. Auch wenn von der Last die meisten Ports nur PoE (802.3af) verwenden werden. NAC kommt derzeit noch nicht zum Einsatz, da gibt es keine spez. Anforderungen. 48 10GB Ports für Server, Hosts, NAS, Backupsystem. Das sollte dann wohl der Core-Switch sein. Das sollte am liebsten ein Stack sein. D. h. ich will die Einzelswitche unter einer Oberfläche sehen. Verwaltung soll, soweit möglich, per WebGUI stattfinden. Für die Verbindung der Switche untereinander würde ich eine Ring-Topologie mit mindestens 10 GB wollen, eher mehr. Das sollte mit mehreren 10GB Ports möglich sein, wenn ich die Doku richtig verstehe. Grüße

Hallo, wie in dem anderen Thread zu den Access-Points würde mich interessieren mit welchen Switche ihr beste Erfahrungen habt. Auch hier geht es mir eher um eine Einschätzung was bei euch gut läuft, als um eine konkrete Empfehlung. Ich verwende derzeit Netgear. Im Gegensatz zu den AccessPoints bin ich da ziemlich zufrieden. Alles funktioniert und ich erreiche Pingzeiten von 5 - 8 Mikrosekunden. Ich spiele mit dem Gedanken wieder Netgear zu nehmen oder auf die Cisco 9200er Serie zu wechseln. Bei HP gefällt mir nicht, dass die eine Mischung aus zugekauften Platformen nutzen. Was haltet Ihr von Extremenetworks oder Zyxel? Es geht um die Größenordnung Firma mit 100 Leuten. Danke für eure Meinungen

Hallo, mich würde interessieren mit welchen Access-Points Ihr gute Erfahrung gemacht habt. Mir ist klar, dass ohne konkretes Anforderungsprofil nichts empfohlen werden kann. Mir geht es um keine Empfehlung sondern eher um Erfahrungsberichte was bei euch gut läuft. Ich verwende im Moment Netgear. Da bin ich nicht so sehr zufrieden. Ich spiele mit dem Gedanken auf die APs von Sophos oder Meraki (Cisco) zu wechseln, weil eine Kompletterneuerung ansteht. Da mir das Cloundmanagement von Meraki nicht so sehr gefällt, evtl. auch die von Cisco mit einem lokalen Management-Controller. Auch bin ich schon auf Ubiquiti aufmerksam geworden. Kennt die jemand? Danke und Grüße