magheinz

Das muss ins Marketing und "Wie drehe ich einem Kunden etwas an"-Forum. mit cisco hat das nix zu tun.

Das kann wirklich zu Problemen führen! Wenn der Händler ausschließlich Cisco verkauft, dann kann der Cashflow gestört werden. Das Verhältnis von Input zu Output am Bankkonto gerät dann aus dem Gleichgewicht. Außerdem werden Geldströme zum falschen Händler und Hersteller geroutet. Was am nervigsten ist: da man bei so einem Händler nicht mehr kaufen möchte, muß man sich auch für ciscokomponenten einen anderen suchen. Das kann man auch wunderbar in reinen Cisco Netzen hinbekommen...

Für ein Notebook musst du ja nur die entsprechenden Gefährdungen und Maßnahmen aus den Grundschutz Katalogen nehmen. Ein Sicherheitskonzept nach BSI ist ja deutlich mehr als das, was du hier brauchst.

Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz...

Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen.

Da sollte die Firma aber ein paar Vorgaben machen. Die müssen doch erst mal das geforderte Sicherheitsniveau vorgeben. Das geht dann bei der Hardware los: redundantes Netzteil, RAID, abschließbares Gehäuse, USV, etc und hört bei so sachen wie Passwörtern etc auf. Zwischendrinn ist dann sowas wie unnötige Dienste beenden, Verschlüsselung etc.

Ich würde das homelaufwerk beim anlegen des Users anlegen. alles andere dürfte vom NAS abhängen.

der zentrale Adminserver hat vor allem einen Bequemlichkeitsvorteil. Ich muss nichts mehr lokal installieren und habe immer alles bereit. Egal ob ich am Arbeitsplatz sitze, ein notebook nutze oder im schlimmsten Fall mit dem Smartphone unterwegs bin. In den meisten admin-tools muss man sich ja eh noch mal anmelden und man kann die Administration auf den Zielgeräten auf die eine IP einschränken, so diese das können.

Und er möchte ein eigenes GPS betreiben? So mit eigenen Satelliten etc?

Wie sieht denn das derzeitige Setup genau aus?

Jap, ich wollte es nur als Info ergänzen. Die meisten Konzepte von MS sind halt für riesige Umgebungen gedacht. Wenn man die dann auf KMUs runterbricht muss man halt schauen ob man etwas anpassen will.

richtig, das ist pro User. Wird der token zu groß scheitert die Anmeldung. Im eventlog steht dann glaube ich sowas wie: "zu viele Gruppenmitgliedschaften". Man kann das einfach ausrechnen. In der KB ist irgendwo eine Formel. Oder auch hier: https://www.msxfaq.de/windows/kerberos/kerberosticketsize.htm#groesse_berechnen Im übrigen ist das ein Grund warum man AGDLP macht. Im Forst sind nur die Gruppen der lokalen Domäne im Token. Würde man die Permission über globale Gruppen verwalten wären immer alle im token.

Muss es revisionsicher sein? Falls nein gibt es benno auch als openbenno!

Man kann die Token-max-size vergrößern. Und ja, mit jeder Gruppemitgliedschaft wird der token größer und erreicht irgendwann das maximum. Das hat mit der Anzahl der Mitarbeiter nichts zu tun.

Von wie vielen accesspoint reden wir hier? In Variante 1 bräuchte man ja einen zweiten Controller!

Bei uns ist RDP für die jeweiligen Admins offen. Die VMwareconsole ist aber natürlich auch möglich und die Windowsrollen werden per RSAT vom admin-server aus verwaltet.

.Wenn die domain User sich nicht auf den Servern einloggen sollen, dann würde ich ihnen auch technisch dieses Recht entziehen. Ich stehe da auf dem Standpunkt, dass Regeln die man technisch nicht durchsetzen kann sinnlos sind. Ansonsten: niemals manuel eintragen, immer per GPO/GPP. Ich würde mich da streng an AGDLP halten, also eine Domainlokale Serveradmin-Gruppe pro Server. Diese dann per GPP den lokalen Admins hinzufügen. Dann eine globale Gruppe Serveradmins wenn jeder admin jeden Server administrieren soll, ansonsten halt mehrere. Dann diese bei den jeweiligen domain lokalen zum Mitglied machen. Was sind denn für dich hier die jump-server? Wir hier haben z. B. Einen Terminalserver auf dem alle admin tools etc installiert sind. Von dem aus kommt man in jedes VLAN.

Ich dachte man macht AGDLP? Jetzt alow AGLP oder sogar AGP?

Bei den VLANs musst du halt schauen nach welchen Kriterien du separieren willst: geografisch(Liegenschaft, Gebäude, Etage, Raum etc) , funktional(Pers. Abt., fertigung, Einkauf etc) , nach Gerätetyp etc. Man kann das auch alles mischen. Mach dir auf jeden Fall vorher einen vernünftigen Plan, überlege welchen Sinn die VLANs haben sollen etc. Soll das alles der Sicherheit dienen soll, mach dir gleich noch Gedanken über 802.1x, TACACS etc

Sorry, aber sich über juristische Themen zu unterhalten ist was anderes als eine juristische Beratung.

Das googlesuchwort dürfte "arbeitnehmerhaftung" sein. Das Thema hat durchaus eine gewisse Komplexität. Im allgemeinen haftet man für alles was mehr als leichte Fahrlässigkeit anteilig oder voll. Tarifverträge können das einschränken(TVöD, Bat z. B.)

Das klingt für mich alles wie "von hinten durch die Brust ins Auge". Redundanter, verfügbarer Storage kosten doch heute nicht mehr die Welt. Solche Dinge sollten automatisch passieren. Die Fehlerquellen eine Schicht oder mehrere weiter oben wären mir viel zu unsicher.

Kannst du nicht das Storagesystemen verfügbar halten? Irgendetwas geclustertes sollte doch möglich sein. Mit Freenas wäre das sogar lizenzkostenfrei möglich.

Prinzipiell geht das mit ausfallsicherem Storage. Unsere Ordnerumleitungen liegen auf einer netapp. Die wiederum mirrord auf eine zweite.

Es ist aber nunmal Stand der Technik dass die biometrischen Scanner mit relativ wenig Aufwand überwunden werden könne. Wenn ich mich jetzt noch recht erinner wird hier konkret doch sogar eine kriminelle Energie vorausgesetzt. Chipkarte + Pin + Biometrie sind ja schon drei Faktoren! Ich würde ja erst mal anfangen und z.B. von den Mitarbeiter welche mit den sensiblen Informationen in Berührung kommen Führungszeugnisse verlangen. Ist der Bestand der Firma in Gefahr wäre eine Sicherheitsüberprüfung möglich. Die beste Technik hilft oft wenig wenn die Mitarbeiter wirklich mit krimineller Energie arbeiten. Dann ist eine Sensibilisierung der Kollegen sinnvoll. Das beste Passwort nützt nix wenn ein Kollege das am Telefon z.B. der IT-Abteilung verrät.