mwiederkehr

Doch, wir. Funktioniert sehr gut: wenig False Positives beim Antispam und bei Malware habe ich bis jetzt erst einmal bei einem Kunden ein False Negative gesehen (Word-Dokument mit eingebettetem OLE-Objekt). Bis jetzt hat sich noch nie ein Kunde beschwert, sein Newsletter sei als Spam erkannt worden. Ich denke grosse Anbieter haben den Vorteil, Unregelmässigkeiten schnell erkennen und darauf reagieren zu können. In meinem privaten Gmail-Account landet auch kaum Spam, und der wurde noch in Newsgroups verwendet.

Auf einem NAS kann man Snapshots erstellen lassen. Diese werden über das Webinterface verwaltet, so dass ein Virus, welcher Netzlaufwerke verschlüsselt, nicht ran kommt. Ein Offline-Medium oder die Cloud (mit Löschschutz) sind natürlich noch eine Stufe besser.

Musste das nur mal einrichten. Es ist mir nicht bekannt, ob es da mal Diskussionen gab. Eher nicht, weil ist ja bequem... Wobei man sich soweit ich weiss trotz Zertifikat mit Username und Passwort anmelden muss. Der User könnte dann persönlich sein. Das Zertifikat diente dann nur dazu, dass sich Mitarbeiter nicht von zuhause anmelden können oder so.

Es gibt schon Fälle, bei denen ein „User“-Zertifikat von mehreren Benutzern genutzt werden soll. Beim Schweizer Zoll muss man ein Zertifikat beantragen, wenn man Warendeklarationen elektronisch einliefern will. Pro Firma bekommt man ein Zertifikat. Dieses installiert man dann bei allen Benutzern, die sich beim Zoll einloggen müssen. Technisch ist das über ein Script lösbar: https://www.jasonpearce.com/2012/02/02/import-pfx-certificate-via-group-policy-preferences/

Werden bei den fehlgeschlagenen Anfragen detaillierte Meldungen angezeigt im Entwicklermodus? Hast Du es mal von einem anderen Rechner / mit dem privaten Modus ausprobiert? Es fällt auf, dass nur XmlHttpRequests (XHR, Anfragen aus JavaScript) fehlschlagen. Da kann die Ursache auch beim Browser liegen.

Die Icons sind Zeichen der Schriftart "Office365Icons". Diese wird von einem der folgenden Orte geladen (je nach Präferenz des Browsers): src: url('../fonts/office365icons.eot?#iefix') format('embedded-opentype'),url('../fonts/office365icons.woff') format('woff'),url('../fonts/office365icons.ttf') format('truetype'),url('../fonts/office365icons.svg#office365icons') format('svg'); Der Pfad wird aufgelöst zu zum Beispiel "/owa/prem/15.2.464.7/resources/styles/fonts/office365icons.woff". Wird da etwas blockiert? Was sagen die Entwicklertools des Browsers (F12) dazu? Dort müsste eine Anfrage zu der Schriftart vorhanden sein unter "Network".

Die Trennung in docx und docm war eine gute Idee von Microsoft. Doch leider kann man in docx auch ausführbare Inhalte einbinden: als OLE-Objekt. Dieses wird zwar erst bei Doppelklick und nach einer Warnung ausgeführt, aber man weiss ja, wie die User sind... Man kann per Policy die Ausführung aber auch generell deaktivieren. Dann sollte docx soweit ich weiss sicher sein. (Bis auf enthaltene Links, aber die kann ein PDF ja auch enthalten.) Schön wäre es, wenn der Filter die Anhänge in PDF-Dateien umwandeln würde. Aber diese Funktion habe ich erst bei Office 365 ATP gesehen.

Ich setze bei Kunden Acronis Backup Cloud ein. Das funktioniert tadellos. Die lokale Variante mit dem (kreativen) Namen "Acronis Cyber Backup" hat die Funktion auch und wäre deshalb einen Versuch wert.

Die Funktion muss ohne Authentifizierung über einen HTTP-Trigger aufrufbar sein. Die Authentifizierung erfolgt in der Funktion selbst: fehlt der Authorization-Header oder sein Inhalt stimmt nicht, muss sie Status 401 zurück liefern. Stimmt der Header, liefert sie die Datei aus. Der Aufruf erfolgt dann über den direkten Link zur Funktion (oder der Schönheit halber über einen URL-Shortener). Jein. Gerade mit Functions konnte ich schon praktische Sachen machen, die für Kleinfirmen nützlich sind. Aber Azure ist wegen seiner Flexibilität komplexer als "normale" Hoster. Wenn ich ein Webhosting für einen Verein will, gehe ich nach wie vor zum Hoster um die Ecke und nicht zu Azure.

Du könntest dafür eine Azure Function verwenden. Diese würde Benutzername und Passwort abfragen und falls korrekt die Datei vom Speicher lesen und ausliefern.

Das mit dem "messbar" ist immer schwierig. Ihr habt schon recht, man kann nicht jedes Jahr eine Zertifizierung machen (und das wäre auch nicht sinnvoll). Wenn wir das Wort "Bonus" durch "individuellen Lohn" ersetzen, ist es schon nahe am von vielen Firmen praktizierten Lohnmodell: man vereinbart beim jährlichen Lohngespräch das Gehalt für das nächste Jahr. Der Lohn setzt sich zusammen aus einem fixen Funktionslohn ("Abgeltung der für die Funktion notwendigen Anforderungen: Ausbildung, Studium, Erfahrung etc.") und einem variablen Leistungslohn. Manchmal kommen noch Zulagen für Lebens- oder Dienstalter hinzu (wobei ich da den Sinn hinterfrage). Falls keine Ziele definiert werden, ist der Leistungslohn das Resultat aus der Verhandlung zwischen Arbeitnehmer und Arbeitgeber. Da spielen dann natürlich die objektive Leistung wie auch das subjektive "Sich-verkaufen-Talent" rein. Man wird kein Lohnmodell finden, welches von allen Mitarbeitern als fair empfunden wird. Aber ein starres Lohnmodell ist ziemlich sicher unfairer: ich kenne einen Fall, als ein bei der Verwaltung zur Baugesuchsprüfung angestellter Jurist nach vielen Berufsjahren einen Doktortitel erworben hat. Danach hatte er dank starrem Lohnmodell erheblich mehr Lohn als seine Kollegen, obwohl seine Doktorarbeit noch nicht mal mit Baurecht zu tun hatte. Andererseits kennt mancher Teamleiter die Situation, dass Supporter A zwar seine Arbeit beim Kunden erledigt, Supporter B aber den Rechner ausliefert und zusätzlich mit einer Bestellung für einen neuen Drucker zurück kommt. Ich bin deshalb ein Befürworter flexibler Lohnmodelle, wobei man das nicht "Bonus" nennen muss und auch nicht mit unerreichbaren Zielen den Mitarbeitern die Möhre vor die Nase halten soll.

Das ist eine schwierige Frage, deren Beantwortung sehr vom Arbeitsumfeld abhängt. Was überall geht, sind persönliche Ziele: Zertifizierung XY bis Ende Jahr abgeschlossen, Fremdsprache gelernt etc. Bei den Zielen für die gesamte Abteilung wird es komplizierter. Wenn man als Dienstleister für andere Unternehmen tätig ist, kann man den Umsatz oder die Produktivität messen. Die Leistungsfähigkeit der internen IT kann man auch messen, wenn auch nicht so einfach: es gibt zum Beispiel Kennzahlen, wie viel der Betrieb der IT pro User in einer Branche im Jahr kostet. Da könnte man einen Bonus daran festmachen, ob der Durchschnitt unter- oder überschritten wird. Wie lange ein Ticket offen bleibt, wie viele geschlossene Tickets wieder geöffnet werden... Aber wie Nils schon erwähnt hat: häufig führen Boni zu Frust. Und manchmal sind sie gefährlich: etwa wenn die IT auf ein sinnvolles Backupkonzept verzichtet, um kostenmässig gut dazustehen.

Ganz wichtig finde ich bei diesem Thema die Frage, ob man selbst einen Einfluss auf den Bonus hat. Also ob es messbare (!) Ziele gibt, an denen sich der Bonus orientiert. Schlecht ist ein Bonus, der sich am Erfolg der Firma bemisst, man aber auf diesen Erfolg keinen Einfluss hat. Habe das mal erlebt in einer Firma mit verschiedenen Geschäftsbereichen: die IT hat sich angestrengt und neue Kunden gewonnen, die anderen Bereiche haben es gemütlicher angegangen. Ende Jahr gab es für alle nur einen minimalen Bonus. Man kann den Erfolg meist nicht auf einen Mitarbeiter herunter rechnen, aber zumindest auf eine Abteilung. Allgemein ist es wohl auch eine Frage der persönlichen Vorlieben: manche haben lieber ein fixes Gehalt, dieses dafür garantiert (Typ "Sparkonto"), andere sind bereit, für einen Bonus auch mal eine Zeit mit Einkommenseinbussen in Kauf zu nehmen (Typ "Aktienkäufer").

Versteckte Accounts sollte man auch finden können, indem man eine Offline-Kopie der ntds.dit mit einem dafür geeigneten Viewer öffnet. So gelten keine Berechtigungen, die sonst Objekte ausblenden würden. So lässt sich evtl. die Domäne retten, aber nicht die Server. Auf denen kann an vielen Orten eine Hinterlassenschaft vom Angreifer versteckt sein.

In "normalen" Umgebungen auf jeden Fall. Die Verwaltung über den lokalen Controller hat ihre Vor- und Nachteile gegenüber einer Cloudlösung. Wir setzen UniFi wegen des guten Preis-/Leistungsverhältnisses vielerorts ein, von Kleinunternehmen mit einem AP bis zu grösseren Firmen mit 25 APs. Einzig in speziellen Umgebungen wie einer Schule sollte man vorsichtig sein und evtl. zu Aruba oder einer anderen Lösung greifen: bei UniFi sprechen die APs nicht miteinander. AP 2 sieht nicht, dass AP 1 mit Anfragen überflutet wird und er einspringen könnte, weil er einige Clients auch sieht. Das Problem hat man aber wirklich nur an Schulen und vielleicht in Konferenzräumen, wo hunderte Clients gleichzeitig in einen Raum kommen.

Vielen Dank für die Antwort! Da wird sich der Kunde freuen... Naja, nächstes Mal eine 3PAR kaufen, da soll es online gehen.

Hallo zusammen! Bei einem MSA2042 steht innerhalb der nächsten 10'000 Stunden ein Firmware-Update der SSDs an. Das Gerät hat zwei Disk Groups: eine besteht nur aus SAS-Platten, eine nur aus SSDs. Dass Disk-Firmware-Updates ein Offline-Vorgang sind, ist bekannt. Nur ist mir nicht klar: sind während des Updates alle Volumes offline oder nur solche auf Disk Groups, von denen eine Disk upgedatet wird? Denn die SSDs bekomme ich gut leer, aber mit den SAS-Disks würde es eine grössere Übung... Hat da jemand Erfahrungen damit?

Ja, das geht, einfach nicht mit dem kostenlosen Angebot. Wobei die allermeisten Websites bei einem klassischen Webhoster besser (sprich: einfacher und günstiger) aufgehoben sind.

Ich finde es sehr bedenklich, dass von vielen Firmen solche Vorfälle als "bedauerlicher Zwischenfall" gesehen werden und Lösegeld bezahlt wird, weil es häufig günstiger ist, als die Systeme aus einer Sicherung zurückzuholen. Ich finde, das sollte man nicht nur betriebswirtschaftlich sehen. Denn mit dem Lösegeld finanziert man im besten Fall den Lebensunterhalt eines Programmierers und die Entwicklung weiterer Schadsoftware, im schlechtesten Fall finanziert man jedoch den Terrorismus.

Ein Kunde mit um die 100 Postfächer setzt seit Jahren efa ein und ist sehr zufrieden damit. Die Spamerkennung sei super und das Webinterface schnell und übersichtlich. Ein anderer Kunde setzt für um die 1000 Postfächer auf Sophos. Die Flexibilität sei nicht so gross, aber die Spamerkennung sei überzeugend und der Support brauchbar. Noch ein anderer schützt seine ca. 1000 Postfächer mit einer Cisco IronPort (bzw. zwei virtuellen als Cluster). Zufrieden ist er mit der Spamerkennung, etwas weniger glücklich jedoch über den Preis. Das Webinterface ist nicht topmodern, aber funktional. Was ich für Spamfilterung absolut nicht empfehlen kann, ist WatchGuard. Da hat man kaum Konfigurationsmöglichkeiten und die Spamerkennung ist mangelhaft.

Ja, das meinte ich. Falls niemand die E-Mails während der Abwesenheit lesen soll, würde ich folgendes vorschlagen: Abwesenheitsassistent einrichten, Postfach in freigegebenes Postfach umwandeln. So musst Du niemandem den Zugriff erlauben. Freigegebene Postfächer nehmen E-Mails an. Die maximale Postfachgrösse beträgt soweit ich weiss 10 GB, was für ein Jahr kein Problem sein sollte, wenn man vorher aufräumt.

Wenn ich es richtig sehe, enthält das Script eine Endlosschleife und das ohne Pause dazwischen. Das kann die CPU ganz schön auslasten. Ich würde eine Pause (notfalls mittels "ping localhost") einfügen vor dem "GOTO loop".

Soweit ich weiss werden die Daten nur für 30 Tage behalten. Man kann das Postfach aber in ein gemeinsames Postfach umwandeln und danach die Lizenz entfernen. Wenn die Mitarbeiterin wieder da ist, weist man ihr wieder eine Lizenz zu und wandelt das Postfach wieder um. So werden auch während der Abwesenheit E-Mails empfangen und ein aktivierter Abwesenheitsassistent würde funktionieren.

Import/Export geht, aber dann hat man die gleichen (alten) Treiber wie auf dem alten Server, inkl. nun nicht mehr benötigte 32-Bit-Treiber etc.. Ich nutze solche Gelegenheiten gerne, um aufzuräumen und prüfe beim Hersteller, ob es neuere Treiber gibt. Nicht nur eine neue Version, sondern vielleicht gibt es einen universellen Treiber, man kann PCL 5 abschaffen etc. Durch den Parallelbetrieb hat man die Möglichkeit, alles schön zu testen bzw. durch den Azubi testen zu lassen.

In Ergänzung zu Nils: ein Mittelweg zwischen einer "richtigen" Windows-CA und mittels OpenSSL erstellten selbst signierten Zertifikaten wäre eine einfache CA. Deren Zertifikat könnte man auf allen Clients als vertrauenswürdig hinterlegen und für die Server dann von ihr signierte Zertifikate ausstellen. Eine einfach bedienbare Software wäre zum Beispiel https://hohnstaedt.de/xca/. (Geht alles mit OpenSSL auch, aber wenn man es nicht so häufig braucht, ist es etwas mühsam mit den Befehlen.)