magheinz

Wie werden denn die user angelegt? Bei uns geschieht das per script aus einem webformular heraus, welches eben auch solche Ordner gleich mit anlegt und die Berechtigungen setzt.

Vielleicht wäre das ja ein Weg? Es muss ja kein Webformular sein. 

Hast du auch ein vcenter am laufen oder nur den esxi?

Hahaha.

Stimmt zwar, aber warum sollte man sich dann herumärgern, wenn man es einfach umgehen kann? Viele dieser drittanbietertools wird von uns hier keiner ändern.

Ausserdem kann man so auch gleich eine vernünftige Regeln basteln für doppelte Namen.

Genau so hat es citrix dokumentiert und beschrieben. Ich hatte die Regeln nämlich im WEM gebaut.

In der englischen Doku gabs dann ein Beispiel mit Sternchen.

Das Fehlerbild ist auch dämlich. Der erste Aufruf des Programms funktionierte immer, ab dem zweiten kam die Sperrmeldung. Nach einem reboot ging es von vorne los.

Am 6.3.2024 um 16:22 schrieb wznutzer:

Hallo,

 

hast Du berücksichtigt, dass Regeln die verweigern immer gewinnen und Ausnahmen auf Pfade mit einem \* enden müssen?

 

Grüße

 

Um auf die Wildcard am Ende zu kommen habe ich Tage gebraucht...

Einfach per powershell anlegen.

Bei uns ist dann auch vorgegeben cn = samaccountname und upn + Mail =samaccountname@domain

Der cn mir Leerzeichen drinn ist nervig, sobald man mal über dem Tellerand der GUI hinausschaut, deswegen schließen wir das aus.

Am 29.2.2024 um 08:32 schrieb Falke07:

Was ist beabsichtigt:

Das Nebennetzt soll überwacht werden (Monitoring). 

Zugriff auf das Hauptnetz muss verhindert sein

 

Meine bedenken:

Kann aus dem Nebennetz auf die Datenstruktur auf dem PC und / oder auf das Hauptnetz zugegriffen werden

Du hast einen Rechner, der direkt in jedem der beiden Netze hängt?
Ist denn der Rechner aus dem "Nebennetz" erreichbar? Das ist nicht klar.

Am 29.2.2024 um 08:32 schrieb Falke07:

- In der Firewall vom Hauptnetz habe ich bereits Maßnahmen ergriffen, welche sicherstellen, das bis zum Router für das Nebennetz kein Zugriff auf das Hauptnetz besteht.

Bringt ja nix, wenn der PC mit einem Bein in dem zweiten Netz hängt.

Vielleicht würde es helfen, wenn du das ganze mal aufmalst.

Mal eine ganze andere Idee:

Hat jemand webex dafür im Einsatz?

Es gibt ja exta "webex support" Support https://www.webex.com/de/remote-support.html

Die Sicherste Firewall von allen.

Wir haben noch kleine Cisco Firepowers aus der 1000er Serie für kleine Anschlüsse.

Mal sehen. Erst mal Wochenende...

vor 13 Stunden schrieb testperson:

Das hatte ich in der Doku für die TCP Ports auch so gelesen. Allerdings bleibt dann 21116 udp (Installation :: Dokumentation für RustDesk):

 

Das hat mich jedenfalls abgehalten überhaupt zu testen.

Ich versuche den Krams gerade mal mit anderen Ports zu kompilieren.

Parallel bin ich auf MeshCentral gestossen. https://meshcentral.com/docs/MeshCentral2DesignArchitecture.pdf

vor 6 Stunden schrieb guybrush:

Das ist zwar jetzt alles ein wenig am Thema vorbei, aber weiter oben wurde der Umgang von Anydesk auch als Beweggrund für einen Wechsel genannt.

Für uns ist nicht anydesk das Problem, sondern der Versuch vom BSI, das ganze geheim zu halten und die immer noch auffälligen Unterschiede der Kommunikation z.B. zu den Franzosen.

Wir sind auch gerade dabei die Patchboxen zu bestellen. Das geht aber wirklich ins Geld und befreit nicht vom eigentlichen Beschriftungsproblem.

Hier zeigt sich vor allem auch ein Problem: man muss das konsequent machen. Mal schnell ein Kabel stecken ist dann tödlich.

Zur Beschrifung nutzen wird einem Brady BMP42 mit den Kabelfanen B-499.

Jeweils eine an jedem Kabelende und jeweils auf der Vorderseite der eine Port und auf der Rückseite der andere Port. So kann man jedes Kabel jederzeit neu stecken, auch wenn es einer komplett herausgezogen hat.

In der Doku steht:

"Für Pro-Benutzer ohne SSL-Proxy müssen Sie den TCP-Port 21114 öffnen, damit die API funktioniert. Alternativ können Sie mit einem SSL-Proxy den TCP-Port 443 öffnen."

Das wollte ich mal austesten.

vor 9 Minuten schrieb wznutzer:

sondern wegen dem Umgang damit.

Das ist genau unser Thema hier. Ganz genau genommen der Umgang durch das BSI mit dem Thema.

Ich bin gerade dabei RustDesk zu evaluieren, da wir auch von AnyDesk wegwollen. 

vor 25 Minuten schrieb Damian:

Hi,

 

sind damit alle Klarheiten beseitigt oder ist noch was offen?

 

VG

Damian

Sagen wir so: verstehen tu ich es noch nicht, meine aber erkannt zu haben, dass es normal ist, dass Anwendungen diese beiden "Dateien" offen hat.

Sollte da niemand widersprechen kann hier zugemacht werden.

Hallo,

Ich habe hier auf einem 2022er Terminalserver(Citrix VDA, sollte aber keine Rolle spielen), eine Anwendung, die laut Ressourcenmonitor

c:\$logfile und c:\$mft offen hat.

Ich hab das noch nie gesehen und wundere mich etwas darüber. Ich wundere mich, dass normale Anwendungen da direkt drauf zugreifen. Das ist doch das NTFS-Journaling und die Dateitabelle?

gruß aus Berlin,

magheinz

vor 3 Minuten schrieb magheinz:

 

Ich hab das noch nie gesehen und wundere mich etwas darüber. Ich wundere mich, dass normale Anwendungen da direkt drauf zugreifen. Das ist doch das NTFS-Journaling und die Dateitabelle?

ok, chrome macht das auch. scheint normales Verhalten zu sein.

nimm haproxy.

du brauchst ein frontend und für jeden der dienste ein backend, welches per acl unterschieden wird.

(vorsicht, ganz grob!)

frontend foobar
    bind IP:80
    bind IP:443 ssl crt /etc/ssl/certs/mysite.pem
    http-request redirect scheme https unless { ssl_fc }
	use_backend foo_servers if { path_beg /foo/ }
    use_backend bar_servers if { path_beg /bar/ }

backend foo_server
    balance roundrobin
    cookie SERVERUSED insert indirect nocache
    option httpchk HEAD /
    default-server check maxconn 20
    server foo_Server01 IP1-intern:80 cookie server1

backend bar_server
    balance roundrobin
    cookie SERVERUSED insert indirect nocache
    option httpchk HEAD /
    default-server check maxconn 20
    server bar_Server01 IP2-intern:80 cookie server1

https://www.haproxy.com/blog/the-four-essential-sections-of-an-haproxy-configuration/

vor 4 Minuten schrieb Dukel:

 

Was ist ein "Reiner" Loadbancer?

Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...).

Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer?

The basic definitions are simple:

• A reverse proxy accepts a request from a client, forwards it to a server that can fulfill it, and returns the server’s response to the client.
• A load balancer distributes incoming client requests among a group of servers, in each case returning the response from the selected server to the appropriate client.

hab ich bei nginx geklaut:

https://www.nginx.com/resources/glossary/reverse-proxy-vs-load-balancer/

nginx kann halt noch viel mehr. Wer viel mehr kann macht auch viel mehr Fehler.

vor 11 Minuten schrieb Dukel:

Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten.

Sonst wäre es ja ein reiner Loadbalancer...

Aber ja, mit einem reverseproxy kannst du natürlich alle Zugriffe Steuern, verändern etc.

z.B. terminieren die SSL-Verbindungen bei uns am Ha-proxy.

Von dort werden nur ganz bestimmte Verbindungen weitergereicht.

Allerdings wird Exchange demnächst hinter die netscaler wandern und alle https-Verbindungen werden, soweit möglich, mit einem zweiten Faktor abgesichert.

vor 6 Stunden schrieb NorbertFe:

Rein interessehalber: Warum?

Weil ha-proxy genau dafür da ist.

nginx ist in erster Linie ein Webserver.

vor 2 Stunden schrieb NorbertFe:

Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;)

Für die Juristen bedeutet es: Die Regel ist so, aber es gibt Ausnahmen. Es ist also eine Abschwächung der Aussage.
Ich wollte ja keine Pauschalaussage treffen 

vor 3 Stunden schrieb cj_berlin:

...und ein Loadbalancer macht das automatisch sicherer?

 

Von den 50% der Unix-Linux-Webserver weltweit, die von HeartBleed betroffen waren, werden die meisten hinter Loadbalancern gestanden haben...

natürlich nicht.
Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins.

Außerdem kann ich am vorgelagerten LB/reverseproxy bei vielen Protokollen noch eine extra Authentifizierung einbauen

Also: automatisch macht es nichts sicherer, aber es bringt zahlreiche Möglichkeiten, das ganze System sicherer zu machen.

vor 1 Minute schrieb NorbertFe:

Naja. Pauschalurteile sind halt immer irgendwie "doof" ;)

ich finde ICH nicht pauschal. andere können das ja anders machen.

Bei mir stehen in der DMZ grundsätzliche keine Windowsserver, sondern maximal Loadbalancer/Reverseproxys die dann verbinden.

In anderen Umgebungen mag es sinnvolle andere Lösungen geben.

vor 33 Minuten schrieb Dukel:

Bei HA Proxy gibt es das auch. Aber nicht ganz so trivial.

Sind ein paar Klicks im Webinterface. trivialer gehts nicht.

vor 14 Minuten schrieb mwiederkehr:

Irgendwie ist bei vielen Admins noch "Netzwerk? Nehm ich was mit Linux." im Kopf, obwohl der IIS in den letzten Jahren massiv an Features zugelegt hat.

ich würde nie einen Windowsserver direkt ins Internet stellen...

vor 2 Stunden schrieb Alman2:

Ok dann versuche ich mich mal an einem Reverse Proxy 

Wenn du auch https-Dienste vom Exchange online hast ist ein Reverseproxy eh eine gute Sache...