magheinz

Wir sind in einer Situation, in der die Frage nicht mehr ist, ob man verschlüsselt wird, sondern wann man verschlüsselt wird. Es geht schon länger nicht mehr primär ums Verhindern, sondern ums Verzögern und anschliessend den Schaden zu minimieren. Gerade wieder einen Laden erlebt(zum Glück nur am Rande) : aktuelle Antivirus, geschulte Mitarbeiter und trotzdem wollte jemand bitcoins. Benötigt wird ein vernünftiges Rechtemanagement zur Schadensminimierung und dann ein Desasterrecoverykonzept welches auch saubere Restorequellen sicherstellt. Die besagte Bude hat ein IT-Forensikteam dazugeholt. Ich behaupte mal, gerade ein minimaler Bruchteil der Admins ist in der Lage hinterher den Infektionsweg wirklich nachzuvollziehen. Da bleibt am Ende nur das Neuaufsetzen. Siehe Kammergericht Berlin als Beispiel.

Da läuft soetwas automatisch ab. Da werden Server aus images deployt und dann Rollen zugewiesen: Deploye einen exchangeserver, Deploye einen mssqlserver etc.

Wie sind die fuktionsuser definiert? Ansonsten sollte das mit einem einfachen Get-ADUser -Filter {} schon gehen.

Dann pass doch die GPO Restricted Groups entsprechend an! Bei uns gibt es auch User die lokaler admin auf speziellen Rechnern sind, niemals die einer ganzen OU. Es gibt pro Rechner dann eine Gruppe app_l_pcxyz_lokal_admin und wenn nicht andere Rollen greifen app_g_pcxyz_lokal_admin. Der User ist dann Mitglied der lokalen Gruppe welche Mitglied der domainlocale Gruppe ist. Dann ist die GPO entweder per Zielgruppenaddressierung konfiguriert oder es gibt für jede Maschine eine eigene GPO. Da bin ich gerade nicht sicher.

Müssen das AD-Rechner sein? Könntest du ihnen virtuelle Maschinen mit lokalen admins zur Verfügung stellen?

Ich bilde mir auch ein das intern teilweise trotzdem mit den langen Namen gearbeitet wird was dann zu immer weniger durchschaubaren Fehlern führt. Was gehen müsste: einen mountpunkt mit einem Ziel tiefer Pfad und dann von dem aus arbeiten. Je nach Anforderungen kann das funktionieren.

Setze einen VLAN-fähigen Layer3-switch dazwischen. Layer drei Damit du zwischen den Vlans routen kannst. Dann bekommt jeder Teilnehmer ein Vlan und der Router auch eins. Der switch bekommt aus jedem Vlan ein Layer3interface welches das default gateway der Geräte im Vlan ist. Ist das nur ein Modem oder macht das Ding auch Routing und NAT?

Ich bin dafür configs zentral zu haben. Das macht auch das changemanagement und die Doku einfacher.

Wieso bekommt nicht ein domainuser die entsprechenden Rechte?

Oder eben via ITDZ. Irgendwann, wenn mal eine zeit lang keine Projekte anstehen, dann schauen wir uns die Lizenzierung mal an. Bei uns ist alles korrekt, aber eventuell nicht immer in der preiswertesten Variante.

Beim ITDZ keine Ahnung. Wir haben da nur einen Beitrittvertrag oder wie das heisst. Den Selec BMI nutzen wir wenn überhaupt über das Kaufhaus des Bundes. Der enthält nur leider kein EDU...

Das hört sich schon mal gut an. Was ist mit dem Select ITDZ-Berlin?

alles nicht. Wir haben openEMM im Einsatz und uns von einer Agentur "hübsche" templates bauen lassen.

Verschickt ihr die Newsletter per Outlook oder was? Unser newslettersystem verarbeitet die NDRs automatisch. Sobald mir der Name der Software einfällt schreibe ich ihn hier rein.

Wer sagt denn, dass sie das nicht dürfen? Die IT? Wir versuchen hier ein minimum an Sicherheit umzusetzen ohne eine GL die sich irgendwie dafür interessieren würde. Da bleiben nur solche Notlösungen...

Wieso krudes Szenario? Bei uns ist das leider die Regel. Im Zweifelsfall wird das Kennwort aufgeschrieben. Ich sehe nur die Chance, das durch einen zweiten, nicht sharebaren Faktor zu verhindern.

Ne Das Passwort wird ja bewusst weitergegeben. Ein zweiter Faktor wäre die Lösung. Solange der aber nicht da ist, erschwert der Kennwortwechsel das ganze wenigstens etwas.

Der regelmäßige Wechsel erschwert das Accountsharing. Das ist für mich immer noch eine legitimierung...

Bei den Produkten die hier im Gespräch sind passt der cisco-enterprisekram nicht wirklich in die Vergleichstabelle. Die stehen da durch den Preis einfach zu sehr hervor. Sicherlich gibt's da nette features für, aber für die Handvoll Geräte und APs spielt das alles keine Rolle.

Icinga. Aber egal bei welchem Monitoringsystem: Die Kunst ist es de richtigen Schwellenwerte zu finden.

Icinga...

Wir haben openemm im Einsatz. Allerdings on premise!

Sind die sites alle in eigenen Subnetzen und/oder vlans? Falls ja, wie wird der DHCP aus den verschiedenen Subnetzen angesprochen?

Welche Zweck hat der Server denn? Sind die beiden Interface im gleichen Netzwerk?

Womit prüft du sie denn jetzt?