Braucht man heutzutage überhaupt noch einen Domänencontroller? Zur Vorgeschichte: Firma mit ca. 150 Rechner, vorwiegend Notebooks, 95% davon werden auch im Homeoffice oder sonst wo betrieben Jetzt wurde der alte Firmenserver gehackt, Ransomware,... Ab jetzt wird wohl alles anders, absolute Sicherheit, keine Admin-Rechte mehr auf den Rechnern, alles zentral kontrolliert usw Funktioniert so leider nicht, da viele Mitarbeiter ständig Software installieren / deinstallieren müssen Ich kann meinem privaten Rechner daheim eigentlich genau so bequem arbeiten, da eh Office 365 usw, alles irgendwo in der Cloud In der Firma kann ich auch mit einem privaten Rechner arbeiten, da Gast-WLAN Wozu braucht es dann eigentlich einen Domänen-Server? In der aktuellen ct war ein Bericht, das Dmänenserver von MS auch nicht mehr so wirklich gerne gesehen sind... Bin zugegeben gerade am überlegen, nur noch mit eigenem Notebook zu arbeiten, das Firmen-Notebook in der Schublade zu lassen und mich dieser Gängelung zu entziehen Funktioniert das? Was ist heutzutage wirklich der SInn eines Domänenservers, ausser mir die STartseite in Chrome über Gruppenrichtlinien zu ändern?
Heinz R. schrieb: > Was ist heutzutage wirklich der SInn eines Domänenservers, ausser mir > die STartseite in Chrome über Gruppenrichtlinien zu ändern? Das du die Rechner zentral Verwalten kannst, um den Leute z.B.: das Verwenden von Chrome zu verbieten.
Heinz R. schrieb: > Funktioniert so leider nicht, da viele Mitarbeiter ständig Software > installieren / deinstallieren müssen Es gibt ein paar banal klingende, aber nicht allzu oft verfolgte Strategien, die dennoch sinnvoll sein können: Erst denken, dann handeln. Erst zielen, dann schiessen. Allzu oft läufts andersrum. Soll heissen: Arbeitsstrukturen erfassen, in Tätigkeitsfelder und Sicherheitsbereiche aufdröseln, Rechte verteilen - aber nicht mit der Giesskanne. Müsst ihr in jedem Netzbereich und auf jedem Rechner vogelwild installieren, jeder für sich? Oder lässt sich das auch etwas geordneter einrichten, Bereiche trennen? > Jetzt wurde der alte Firmenserver gehackt, Ransomware,... Ist eine gute Gelegenheit, obige Strategien mal anzugehen. Der nötige Leidensdruck ist da, die Kosten der bisherigen Strategie "Durchwursteln" wurden deutlich. > In der aktuellen ct war ein Bericht, das Dmänenserver von MS auch nicht > mehr so wirklich gerne gesehen sind... Was ist denn die Alternative? Cloud ist auch sowas in der Art, nur grösser und von anderen Leuten gemanaged. Sinnvoll, wenn man für eigenes Knowhow zu klein ist. > Funktioniert das? Für dich vielleicht. Insgesamt: nein. Es sei denn, du schreibst hier über eine 5-Nasen-Firma. Einen Nebeneffekt hat organisiertes Vorgehen: Es baut Hürden auf, über die sich manche ärgern. Weshalb sowas am besten dann machbar ist, wenn jeder gemerkt hat, dass das bisherige Vorgehen auch nicht das Gelbe vom Ei war.
:
Bearbeitet durch User
Sicherheit ist halt immer unbequem und natürlich ist es nevig, weil was nicht läuft und man erst suchen muss, warum und wieso es nicht läuft. Die Argimentation von Laien ist ja immer: "aber bei mir Zuhause..." Natürlich ist es einfacher ein Heimnetz aufzubauen, bei dem jeder tut was er will. In einer Firma sollten auf den Rechnern selbst eigentlich keine Daten liegen, sondern auf dem Server, welcher auch regelmäßig gesichert wird. Oder Drucker sollen als Ressource für jeden gleich funktionieren. Und, wenn ein Client nicht mehr tut, wie er soll, dann muss man diesen einfach platt machen können, ohne überlegen zu müssen, was dann alles nicht mehr läuft. Aber klar, heute will jeder alles tun und machen, egal, was er von IT versteht und die Firmen sollen tollerieren, das die Leute installieren, wozu Sie gerade Bock haben. Und Maßnahmen der Regulierung werden dann als Gängelung bezeichnet. Muss jeder überall Zugriff haben? Ich hab auch schon Diskussionen geführt, ob ich einem Mitarbeiter sein Lieblingsstreamingprogramm installiere oder MP3-Player xyz. Ich hab schon erlebt, das ein MA gekündigt wurde, weil er auf einem Kundenrechner oder Netzlaufwerk seine private MP3-Sammlung hatte und das völlig normal fand. Oder einer hat mal ständig Alarme vom Virenscanner ausgelöst, weil er irgendwelchen Schweinkram gucken musste, der sollte eigentlich Probearbeiten...
Hallo Sven, gebe Dir total Recht - nur, frage mich, was spricht denn gegen dieses große "Heimnetzwerk"? Welche Vorteile hat ein Domänencontroller heutzutage noch? Bei uns in der Firma ist das Problem momentan eher das die Admins in einer Scheinwelt leben - die Anwender überhaupt nicht verstehen wollen Beispiel: ab sofort keine Excel oder Word-Anhänge mehr in Mails Microsoft wird doch wohl wissen was sie da tun? Mein Einwand: Einer meiner Kunden hat ca. 200.000 Mitarbeiter, DAX-Konzern - da ist das so ok, ich muss da mit spielen - Antwort der Admins unserer 100 Mann - Butze: Ich erkläre denen gerne wie das richtig gemacht wird...
Heinz R. schrieb: > Beispiel: ab sofort keine Excel oder Word-Anhänge mehr in Mails > > Microsoft wird doch wohl wissen was sie da tun? Es gibt auch in der heutigen Zeit Leute, die von IT wenig bis keinen Plan haben. Bsp: So kannte ich mal eine Dame, die bat ich Word zu öffen und mir zu zeigen, was nicht geht... Die macht den Explorer auf, geht auf ein Netzlaufwerk, öfent irgendwann ein Dokument und löscht dort alles raus. Die Kriminellen dieser Welt werden immer gewitzter. Fragebogen.doc.exe oder so... Auch mit Makros in Dokumenten kann man viel kaputt machen. Mails mit entsprechenden Anhängen hat der Contentfiler geschnappt und zum Admin umgeleitet, dieser hat entschieden und weitergeleitet. Du klickst als Anwender heute irgendwo drauf und nix passiert, und Wochen oder Monate später schnappt die Falle zu. Mich hat mal ein Kunde angerufen, ich müsse schnell kommen, die Bank hat ihm das Konto gesperrt, weil Fremde drauf waren. Dort war es wie beschrieben, der Rechner war infiziert, doch es ging erst viel viel später los... Vor Wochen habe er mal was angeklickt. Weniger Rechte = weniger Angriffsfläche. Gerade in Firmen laufen noch haufenweise XP, aber eben auch NT-Kisten für irgendwelche Gerätschaften, wo man nicht mal fix Win 10 drauf packen kann.
Welche Vorteile hat ein DC? Ich stelle alle Rechner gleich ein, für jeden Benutzer. Bsp: Explorer soll auf dem Ziel "Mein Computer" geöffnet werden, statt "Favoriten". Einheitliches Hintergrundbild, Zugriff auf Ressourcen, Verteilen von Benutzerrechten... Anmeldung an jedem PC in der Domain.
Ja, aber man darf sich doch als IT.Admin nicht hinstellen und pauschal alles sperren? Man ist böse gesagt nur Dienstleister in der Firma Wenn ich jetzt alle vor ihrer eigenen Dummheit schützen muss soll ich jetzt alle Sägen und Bohrmaschinen weg schließen? rlebe halt gerade leider bei uns eine ungeheime Wichtigtuerei der Admins, der Vorstand blickt es nicht, denke es wird bald sehr böses Blut geben Deshalb meine Frage - braucht man in der heutigen Zeit noch einen lokalen Domänencontroller?
Heinz R. schrieb: > an ist böse gesagt nur Dienstleister in der Firma Wer nach allen Seiten offen sein will, der kann nicht ganz dicht sein. Wenn die Firma auch nach einem Problemfall sich nicht dazu aufraffen kann, etwas restriktives System ins flexible Chaos zu bringen, kann der Admin wirklich nix für. Ausser vielleicht, dass es zu seiner Aufgabe gehören kann, die Problematik darzustellen.
Ein Admin kann ALLEN ALLES erlauben und hat dann viel Arbeit die vermuksten Rechner neu zu installieren wegen Viren usw. ODER ALLES kastrieren und hat dann viel Arbeit das Nötigste zu erlauben. Heinz R. schrieb: > Bin zugegeben gerade am überlegen, nur noch mit eigenem Notebook zu > arbeiten, das Firmen-Notebook in der Schublade zu lassen Der Admin kann über den DC aber auch adminstrative Vorlagen verteilen und etwas Ordnung in die Firma bringen WENN er weiß was die Leute brauchen. Gleichzeitig wäre das Thema Backup zu betrachten, wo ich mir sicher bin, daß 98% der Heimrechner kein regelmäßiges tägliches Backup haben!
Heinz R. schrieb: > Bei uns in der Firma ist das Problem momentan eher das die Admins in > einer Scheinwelt leben - die Anwender überhaupt nicht verstehen wollen Die Admins leben in einer realen Welt, Benutzer, die alles anklicken und keinen Schimmer von den Risiken haben. Ich hatte viele Gespräche mit dem Admin und dabei ein gewisses Maß an Verständnis für seinen Scheißjob entwickelt. Ich selbst hatte erheblich mehr Freiheitsgrade als viele andere Kollegen, aber immer mit dem Risiko, auf die Ohren zu bekommen, wenn ich sie mißbrauche. Du bist mit Deinen Einschränkungen unzufrieden, Deine Fragestellungen deuten aber darauf hin, dass diese im Sinne der Firma sinnvoll sind. Mitarbeiter, die glauben sich auszukennen sind noch weitaus gefährlicher als die Büro-DAUs. A. K. schrieb: > Wenn die Firma auch nach einem Problemfall sich nicht dazu aufraffen > kann, etwas restriktives System ins flexible Chaos zu bringen, kann der > Admin wirklich nix für. Oh doch, dann ist er seiner Aufgabe nicht gewachsen und hat schon vor dem Problemfall versagt.
Heinz R. schrieb: > rlebe halt gerade leider bei uns eine ungeheime Wichtigtuerei der > Admins, der Vorstand blickt es nicht, denke es wird bald sehr böses Blut > geben Als Admin ist mal halt Herr über das Netzwerk und hat seine Neider, ganz klar! Als Betriebselektriker hat man auch den Schlüssel zur Trafostation, da darf auch nicht jeder rein um mal an die Sammelschiene zu fassen. Als normaler Mitarbeiter kommst Du auch nicht in die Buchhaltung, ins Sekretariat oder ins Personalwesen, jedenfalls nicht allein! Warum sollst Du dann als Mitarbeiter Zugriff auf ein komplettes IT-System bekommen? Das den Anwendern die Restiktionen der Administratoren i.d.R nicht passen ist dabei nichts neues. Das es Admins gibt, die sich besonders wichtig tun, ist auch normal. Klar gibt es Wichtigtueradmins... Gern wird können von Neidern auch als Arroganz gesehen...
Heinz R. schrieb: > Man ist böse gesagt nur Dienstleister in der Firma Genau, und dieser Dienstleister ist verantwortlich dafür, dass alles funktioniert. Aber bezahlt wird die IT vom Unternehmen, nicht vom Mitarbeiter, ein kleines aber wichtiges Detail das gerne von den Nicht-IT-Mitarbeitern vergessen wird. ;) In einer durchschnittlichen Firma ist alles vertreten vom DAU (neben dem eigentlich ständig ein IT-ler mit dem Rohrstock stehen müsste) bis hin zum IT-Profi (damit sind natürlich nicht die selbsternannten "Profis" gemeint). Der DAU macht ständig Probleme, wenn man ihm die Möglichkeiten dazu gibt. Bringt verseuchte Datenträger von zuhause mit, surft auf dubiosen Seiten, klickt treudoof auf jeden Link in Spam-Mails und führt die Anweisungen pflichtgetreu aus, will bestimmte Programme weil er andere nicht benutzen kann/können will, etc. Der wirkliche Profi hingegen braucht bestimmte und besondere Programme und Rechte, um seine Arbeit überhaupt ausführen zu können. Um sich also selbst Arbeit zu ersparen und mögliche Schäden zu minimieren (die der Firma enorm Geld kosten können), wird die IT also logischerweise möglichst restriktiv agieren. Das heißt, pauschal erst mal fast alles was Probleme machen könnte verhindern/verbieten. Oder wäre es dir recht, wenn jeder in deiner Firma uneingeschränkten Zugriff auf deine Personal- und Lohndaten hätte? Wenn jemand wirklich besondere Rechte, Programme etc. braucht, stellt man das für diese Personen auf Antrag zur Verfügung, indem man sie in entsprechende User-Gruppen steckt. Klar ist das vielleicht manchmal etwas unangenehm, aber eben notwendig. Schon allein die Verwaltung der Netzwerk-Shares wird ohne DC recht pflegeintensiv und spaßig, oder aber jeder kann überall schreiben und lesen was er lustig ist. Wenn es keine gemeinsam genutzten Netzlaufwerke gibt, kann man sich den DC natürlich sparen, dann müssen die Daten eben jedes Mal per Mail oder USB-Stick transportiert werden, kein Problem... Einen zentralen Mail-Server braucht es dann natürlich auch nicht, das kann auch restriktionsfrei per Web-Mailer bei den bekannten Freemail-Diensten erfolgen. Jeder darf auf seiner Kiste treiben was er will ohne böse Gängelung, kann alle seine Privat-PCs in die Firma schleppen und dort anstöpseln, und wenn einen der böse Virus erwischt, muss man eben selber sein System neu aufsetzen und die selbst gesicherten (und hoffentlich virenfreien) Daten wieder einspielen, ist ja kein Akt. Und falls eine solche Sicherung nicht vorhanden ist, stürzt man sich eben aus dem nächsten Kellerfenster in den Tod. ;) Falls es zufällig der PC in der Lohnbuchhaltung war, gibts halt erst mal keinen Lohn, kein Problem, die paar Wochen oder Monate bis alles wieder neu erfasst worden ist und der Lohn wieder kommt, kann man auch mit seinem Dispo oder einem kleinen Kredit überbrücken... Gerade bei Ransomware wäre die Lösung aber eigentlich recht einfach: Die Netzwerk-Shares liegen nicht auf irgendwelchen Windows-Kisten (wo man dann erst langwierig das Backup einspielen muss), sondern auf Linux/BSD Servern mit CoW Dateisystem wie ZFS mit Snapshots. Da kann die Ransomware verschlüsseln was sie will, mit einem simplen Rollback ist sofort alles wieder wie vorher, nachdem man den Angriffsvektor beseitigt hat. Und natürlich hat ein DC auch noch mehr Vorteile, die zum Teil auch schon genannt wurden: Anmelden auf jedem beliebigen Gerät möglich, automatische Verbindung zu den richtigen Druckern, Windows, Outlook usw. ist gleich richtig eingerichtet und kann sofort benutzt werden, andere Software wird beim ersten Start automatisch nachinstalliert usw. Hast du das nicht, bist du nach Hardware-Wechsel erst mal nen halben Tag beschäftigt alles wieder so einzurichten wie es war, Arbeiten am PC vom Kollegen ist auch schlecht möglich etc. *Dieser Beitrag kann Spuren von Ironie enthalten.
Stefan B. schrieb: > dann müssen die Daten eben jedes Mal per Mail oder > USB-Stick transportiert werden Die modernisierte Version vom USB-Stick heisst Dropbox. > Netzwerk-Shares liegen nicht auf irgendwelchen Windows-Kisten (wo man > dann erst langwierig das Backup einspielen muss), sondern auf Linux/BSD > Servern mit CoW Dateisystem wie ZFS mit Snapshots. Yep. Windows kann allerdings auch Snapshots, wenn auch nicht per CoW.
Hm, ich "darf" auf meinen Firmenrechner auch alles machen, aber eigentlich nicht recht viel mehr als die DAUs, weil im Endeffekt wenn ich gegen die Firmenpolicy verstoße dann gibts halt richtig eine drauf, weil ich im Endeffekt auch selber dafür verantwortlich bin. Ob ich hier wirklich besser dran bin? Ja ein klein wenig, weil ich meine Probleme selber lösen kann und nicht warten muß bis der Admin Zeit hat... Im Endeffekt bekommt man als Arbeitnehmer das was man braucht und halt nicht mehr. (Man sollte aber in der Lage sein, dies auch bei der Geschäftsleitung entsprechend vorzutragen!) Und wegen Privatsachen und Schweinskram, das werde ich nie verstehen, weil im Endeffekt gehe ich davon aus das der Admin sich jederzeit in meinen PC einklinken kann! Ob er das darf oder nicht steht hier aber nicht zur Diskussion. Gruß
Ein Domainen Controller vergibt die Rechte zum Arbeiten in der Domain. Ja, man kann auch mit dem eigenen Notebook am Gast WLAN arbeite. Aber diesen Leuten wuerde ich so keinen Zugriff auf sensible Firmendaten geben. In einer Bank zB ist der PC im Keller, Die Mouse, das Keyboard, und der Bildschirm ist per langem Kabel angeschlossen. Das eigene Handy wird am Eingang abgegeben.
Pandur S. schrieb: > In einer Bank zB ist der PC im Keller, Die Mouse, das Keyboard, und der > Bildschirm ist per langem Kabel angeschlossen. Hab ja schon viel gehört, aber sowas noch nie. Üblicherweise verwendet man Thinclients, die vom Server genau das laden, was am jeweiligen Client benötigt wird, bzw. dies als Terminalserververbnindung zur Verfügung gestellt...
A. K. schrieb: > Die modernisierte Version vom USB-Stick heisst Dropbox. Stimmt, hatte ich ganz vergessen. Wobei ein bestenfalls verseuchter USB-Stick besser zum Beispiel passt <gg> A. K. schrieb: > Windows kann allerdings auch Snapshots, wenn auch nicht per CoW. Richtig, wobei mit gewissen Einschränkungen zu rechnen ist, weil MS leider kein CoW Dateisystem anbietet bzw. unterstützt. Zum einen könnte die Performance etwas leiden, weil der VSS für eine gewisse Zeit die I/Os anhalten muss. Und zum anderen kann soweit ich weiß das Bootlaufwerk nicht gesnapshotted werden, und die Anzahl der Snapshots ist limitiert. Aber für reine Daten-Shares sollte das nicht ins Gewicht fallen.
Heinz R. schrieb: > Bin zugegeben gerade am überlegen, nur noch mit eigenem Notebook zu > arbeiten, das Firmen-Notebook in der Schublade zu lassen und mich dieser > Gängelung zu entziehen > > Funktioniert das? Selbstverständlich funktioniert das. Back to the roots, jedem seinen Einzelplatzrechner, wie vor 30 Jahren. Gemeinsame Nutzung von Datenbeständen, Druckern und anderen Ressourcen ist sowas von out. Am besten ohne Netzwerk, denn wo keines ist, kann sich auch keine Schadsoftware darüber verbreiten. Um die Datensicherung kümmert sich wieder jeder selbst. Oder auch nicht, ist dann jedem sein Problem. Genauso wie der Datenabgleich mit anderen. Im Ernst, wer solche Fragen stellt, hat nicht den geringsten Plan von Netzwerkadministration. Natürlich kann man ein Netzwerk ohne DC aufbauen. In SoHo-Umgebungen bis max. 5 User ist das durchaus praktikabel. Nicht aber in einer Firma mit 150 Usern. Primärer Sinn einer Domänenstruktur ist die zentrale Nutzerverwaltung. Egal wieviele Clients und Server das Netzwerk umfaßt, ein Benutzer muß nur einmal auf dem Domänencontroller angelegt werden und hat dann Zugriff auf alle der Domäne angehörenden Rechner (eingeschränkt von der Rechteverwaltung). Moderne Systeme arbeiten nicht mehr nur als zentrale Ablage von Dateien auf einem einzigen Server. In der Regel existieren mehrere Server für verschiedene Zwecke, z.B. Fileserver, Datenbankserver, Anwendungsserver, Druckserver und weitere. Wöllte man ohne Domäne arbeiten, müßte man den Benutzer auf jedem dieser Server einrichten. Ebenso müßten geänderte Kennwörter auf jeder Ressource angepaßt werden. Zentrale Verwaltung von Einstellungen per Gruppenrichtlinie wäre ebenfalls nicht möglich, jede Einstellung müßte für jeden Benutzer auf jedem Rechner vorgenommen werden. Kurz, der Administrationsaufwand ist ohne DC um (mehrere) Größenordnungen höher und komplizierter. Kein ITler, der kompetent und bei Verstand ist, würde sich das heutzutage noch antun. Und was die sogenannte "Gängelung" anbetrifft, deren Zweck ist entgegen der landläufigen Meinung von Usern nicht die Einschränkung der Arbeitsfähigkeit, sondern die Gewährleistung eines Mindestmaßes an Sicherheit. Ohne funktionierende IT ist so gut wie keine Firma mehr arbeitsfähig. Der Verlust von Daten kann den Ruin der gesamten Firma bedeuten. Sicherheit und Bequemlichkeit sind nunmal zwei Enden eines Wägebalkens, es können nicht beide oben sein.
Heinz R. schrieb: > In der aktuellen ct war ein Bericht, das Dmänenserver von MS auch nicht > mehr so wirklich gerne gesehen sind... Aha. Wie soll den laut c't dann ein Firmennetzwerk administriert werden? Ich habe auch privat einen DC (Samab4 basiert). Da hängen diverse Linux und Windows Rechner dran. Und über VPN auch der Rest der Verwandschaft (Zum Bilder schauen) Benutzerkonto einmal anlegen, schon kann man sich überall anmelden. Zum Thema Gängelung gabs ja auch schon diverse Artikel zum LiMux Projekt in München. Die Benutzer(Arbeitnehmer) hätten sich beschwert das Sie unter Linux nicht einfach irgendwas installieren könnten - Als ob das bei einer anständig aufgesetzten Windows Domäne anders wäre. Der Arbeitnehmer hat nichts auf seinem Arbeits PC zu installieren, was nicht zur Arbeit gehört. Wenn er eine Software zur Erledigung seiner Aufgaben braucht, dann muss er das halt beantragen und dann wird entschieden ob er es bekommt.
Andreas M. schrieb: > Zum Thema Gängelung gabs ja auch schon diverse Artikel zum LiMux Projekt > in München. Die Benutzer(Arbeitnehmer) hätten sich beschwert das Sie > unter Linux nicht einfach irgendwas installieren könnten - Als ob das > bei einer anständig aufgesetzten Windows Domäne anders wäre. Das war vermutlich auch ein Argument warum LiMux eingestellt worden ist.
Andreas M. schrieb: > Heinz R. schrieb: >> In der aktuellen ct war ein Bericht, das Dmänenserver von MS auch nicht >> mehr so wirklich gerne gesehen sind... > > Aha. Wie soll den laut c't dann ein Firmennetzwerk administriert werden? Wüsste ich auch gerne. Das Einzige was ich in der aktuellen c't finde, ist eine Kritik an der Abhängigkeit von Microsoft und deren allgemeine "alles zu uns" Cloud-Strategie. Aber nicht AD im Besonderen.
100Ω W. schrieb: > Das war vermutlich auch ein Argument warum LiMux eingestellt worden ist. Dazu finde ich in der aktuellen c't was. https://www.heise.de/select/ct/2020/19/2017712480014841490
Andreas M. schrieb: > Wenn er eine Software zur Erledigung seiner Aufgaben > braucht, dann muss er das halt beantragen und dann wird entschieden ob > er es bekommt. Dann muss dieser Prozess aber auch zügig funktionieren. Nicht ein riesiges, schlecht erklärtes Onlineformular wo man Wochen später eine Ablehnung ohne Begründung bekommt. Wobei es mittlerweile hier besser geworden ist. Das Formular wurde wesentlich vereinfacht und es gibt eine Liste mit tausenden Programmen die pre-approved oder pre-denied sind. Kostenlose kann man sofort installieren, andere muss nur noch der Abteilungsleiter genehmigen. Heinz R. schrieb: > Bin zugegeben gerade am überlegen, nur noch mit eigenem Notebook zu > arbeiten, das Firmen-Notebook in der Schublade zu lassen und mich dieser > Gängelung zu entziehen Ganz schlechte Idee, niemals Firmendaten auf privaten Equipment oder private Daten auf Firmenequipment. Ersteres ist oft gesetzlich nicht zulässig und zweites lädt neugierige Admins geradezu zu ein.
Meine Frage nach der Notwendigkeit eines DC bezog sich auch eher darauf, das wohl jetzt bei uns fast alle Dienste irgendwo in der Cloud bei verschiednenen Hostern liegen, ganz vorne weg z.B. Office365 Es wird keine Server mehr innerhalb der Firma geben, auf die die Arbeitsplatzrechner zugreifen Blechbieger schrieb: > Dann muss dieser Prozess aber auch zügig funktionieren. Nicht ein > riesiges, schlecht erklärtes Onlineformular wo man Wochen später eine > Ablehnung ohne Begründung bekommt. Das ist das Hauptproblem, es wird nicht zügig funktionieren Blechbieger schrieb: > niemals Firmendaten auf privaten Equipment oder > private Daten auf Firmenequipment Microsoft (und auch viele Firma) werben doch groß damit, das man mit dem Firmenaccount auf bis zu 5 Geräten installieren kann, somit nicht mehr jeden Abend sein Notebook mit heim schleppen muss Stefan B. schrieb: > Und natürlich hat ein DC auch noch mehr Vorteile, die zum Teil auch > schon genannt wurden: > Anmelden auf jedem beliebigen Gerät möglich, automatische Verbindung zu > den richtigen Druckern, Windows, Outlook usw. ist gleich richtig > eingerichtet und kann sofort benutzt werden, andere Software wird beim > ersten Start automatisch nachinstalliert usw. Ist dem wirklich so? Also bislang hat der DC bei uns vor allem eines getan: über Gruppenrichtlinien lustige Dinge wie die Startseite in Chrome zu ändern - im Stil von schaut mal was ich alles kann... Aber Spezialsoftware, und sei es nur die Arduino IDE, muss jeder Anwender trotzdem selber installieren, da geht nichts automatisch Mit Elektronik Messgeräten uC zu arbeiten ohne Adminrechte zu haben kann ich mir zugegeben kaum vorstellen
Heinz R. schrieb: > Aber Spezialsoftware, und sei es nur die Arduino IDE, muss jeder > Anwender trotzdem selber installieren, da geht nichts automatisch IT voll zu automatisieren, das kostet Zeit und Geld. In eher kleineren Firmen wird man deshalb wohl kaum alle Möglichkeiten ausnutzen (können). Die Installationspakete für die SW-Verteilung muss auch erstmal jemand zusammen bauen und vorallem testen. Es ist immer leicht zu schimpfen... Warum soll ein Progarmmierer, der nicht ständig irgendwelche Treiber schreibt, oder Windowsservices entwickelt nicht mit Hauptbenutzerrechten klarkommen sollen? Es wird vielleicht auch alles oft und gern dramatisiert oder?
Heinz R. schrieb: > Das ist das Hauptproblem, es wird nicht zügig funktionieren Wenn das Paket gescriptet ist und keine Lizenzfragen im Weg stehen, geht das bei uns sofort.
Sven L. schrieb: > Warum soll ein Progarmmierer, der nicht ständig irgendwelche Treiber > schreibt, oder Windowsservices entwickelt nicht mit Hauptbenutzerrechten > klarkommen sollen? zugegeben, weiss ich nicht - habe noch nie mit einem Rechner ohne Admin-Rechte gearbeitet was mir spontan einfällt: - Programme wie die Beispiel-Arduino-IDE, Notepad++ usw machen meines Wissens kein Update, sondern installieren beim Update komplett neu - mal kurz unterwegs was drucken müssen, über USB an einen beliebigen Drucker - vermutlich können da keine Treiber mehr installiert werden?
:
Bearbeitet durch User
Heinz R. schrieb: > - Programme wie die Beispiel-Arduino-IDE, Notepad++ usw machen meines > Wissens kein Update, sondern installieren beim Update komplett neu > Keine Ahnung > - mal kurz unterwegs was drucken müssen, über USB an einen beliebigen > Drucker - vermutlich können da keine Treiber mehr installiert werden? Ist für mich verkraftbar Man hat halt trotz alle dem immer wieder die Wahl zwischen mehr Freiheit oder mehr Sicherheit. Warum funktioniert denn Ransomware? Weil Rechner mittlerweile so viel Rechenleistung mehr hat, das keiner mehr merkt, wenn nebenbei seine Festplatte verschlüsselt wird.
Sven L. schrieb: > Warum funktioniert denn Ransomware? Weil Rechner mittlerweile so viel > Rechenleistung mehr hat, das keiner mehr merkt, wenn nebenbei seine > Festplatte verschlüsselt wird. Wie funktioniert die überhaupt? was sie macht ist mir schon klar - aber ist es wirklich so das ein Win10-Rechner im Netzwerk, sei es jetzt in einer Firma, im Hotel, im Flughafen-WLAN usw besser gegen eine Infektion durch einen anderen WLAN-Teilnehmer geschützt ist wenn man den Benutzer einschränkt? Nach meinem Verständnis gibt es nur 2 Infektioswege: - dummer Benutzer klickt auf einen Link / Offfice Dokument mit Makro, installiert dubiose Software, dann ist dieser eine Rechner befallen - andere Rechner werden nur befallen / infizieren sich übers Netzwerk durch unentdeckte Softwarefehler / Lücken in Windows, oder ein dummer Benutzer hat den Virenscanner ausgeschaltet Aber lerne gerne dazu
:
Bearbeitet durch User
Heinz R. schrieb: > oder ein dummer Benutzer hat den Virenscanner ausgeschaltet Oder der dumme Virenscanner hätte es erst 2 Tage später gemerkt, weil er erst dann von dem dann längst nicht mehr aktuellen Trojaner hörte. > gegen eine Infektion durch einen anderen WLAN-Teilnehmer geschützt ist Remote code execution sind zwar die gefährlichsten Fälle mit grossflächiger Auswirkung, aber nicht die häufigsten. Selten ist der andere WLAN Teilnehmer das Problem, wenn du nicht in einer kritischen Branche bist und SIE wirklich hinter dir her sind. Hauptvektor sind Mails.
Sven L. schrieb: > wenn nebenbei seine Festplatte verschlüsselt wird. Die ist bei Firmen-PCs uninteressant. Kritisch ist nicht die Anwender-Festplatte, sondern was im Netz schreibend ansprechbar ist und deshalb verschlüsselt wird. Lokale Administrationsrechte und privilege escalations sind weniger für Ransomware relevant. Die findet auch im User-Kontext genug Futter und fällt sehr schnell unangenehm auf. Sondern für Dauergäste unauffälligerer Art: Keylogger, Datenausschleusung etc.
A. K. schrieb: > Oder der dumme Virenscanner hätte es erst 2 Tage später gemerkt, weil er > erst dann von dem dann längst nicht mehr aktuellen Trojaner hörte. Ja, es ist ein Katz-und Maus-Spiel, aber wo helfen hier Gruppenrichtlinien usw? Es ist dann einfach das Problem, das eine Sicherheitslücke Microsoft-seitig nicht rechtzeitig erkannt wurde? A. K. schrieb: > Hauptvektor sind > Mails. Auch hier zum besseren Verständnis - es wird diskutiert das Word und Excel-Anhänge eine massive Gefahr sind, es diese Anhänge in Zukunft nicht mehr geben wird Outlook, Word und Excel - alle aus dem MS-Paket - warum unternimmt da MS nichts? Ich behaupte 95% der Dateien brauchen kein VBA, Skripting oder sonst was Von den 95% die es brauchen brauchen wiederum nur 10% einen direkten Dateizugriff? Es wäre doch ein einfaches, dieses Einfallstor zu schließen?
Ich habs halt gesehen, wie ein Einzelplatz PC ohne Server usw. Opfer wurde. Dann hab ich gelsen, das sich die Ransomware zwischen User und Dateisystem legt und im ersten Moment mal alles transparent durchleitet, aber eben nebenbei die Daten verschlüsselt, ohne das es der Benutzer merkt. Und wenn fertig, dann wird der Schlüssel weg gesperrt und der Benutzer "informiert"
Heinz R. schrieb: > Outlook, Word und Excel - alle aus dem MS-Paket - warum unternimmt da MS > nichts? > Ich behaupte 95% der Dateien brauchen kein VBA, Skripting oder sonst was > Von den 95% die es brauchen brauchen wiederum nur 10% einen direkten > Dateizugriff? > Es wäre doch ein einfaches, dieses Einfallstor zu schließen? Das mag auf Dich zutreffen, schau Dir die ganzen Automobiler an, was da alles mit Excel und mit Makros etc. läuft. Über PDF-Dateien, Javascript usw. kann man auch viel Blödsinn machen. Am Ende nehmen die Bösen halt solche Technologien um die ganz bösen Dinge nach zu laden.
Heinz R. schrieb: > Es wäre doch ein einfaches, dieses Einfallstor zu schließen? Enterprise-Mailscanner suchen in Mails und ggf auch hinter darin enthaltenen Links aktive Inhalte und blockieren sie. Weshalb es auch keine gute Idee ist, in einer Mail einen Link zu senden, der bereits mit Klick drauf was auslöst. Bei dusselig gemachten Mails mit Link zur Bestätigung kann es passieren, dass bereits der Scanner diesen Klick durchführt und der Empfänger hinterher in die Röhre guckt.
:
Bearbeitet durch User
Sven L. schrieb: > Über PDF-Dateien, Javascript usw. kann man auch viel Blödsinn machen. Genau deshalb frage ich ja Euch :-) - brauche etwas Futter gegen unsere durchdrehende IT im Sicherheitswahn Neueste Idee ist - in Outlook sind quasi fast alle Anhänge gesperrt - wie auch immer das funktionieren mag, bekommt dann der Absender wenigstens eine Nachricht? Dateien sollen nur noch über OneDrive ausgetauscht werden - ist das wirklich sicherer? Vielleicht die nächsten 8 Wochen, bis die bösen Buben auch diesen Weg nutzen? Ist es richtig, das bei einem bei Microsoft / Telekom gehosteten Office-365 kein Virenscan bei den Mails durchgeführt wird?
Heinz R. schrieb: > bekommt dann der Absender wenigstens eine Nachricht? Bei eingehenden Mails wird eher der Empfänger informiert, dass eine Mail für ihn zurück gehalten wurde. Den Absender zu benachrichtigen ist problematisch, denn die arme Sau, die nun tausend solcher Benachrichtigungen kriegt, muss sie nicht verbrochen haben.
:
Bearbeitet durch User
Heinz R. schrieb: > in Outlook sind quasi fast alle Anhänge gesperrt Wenn die IT das wirklich durchkriegt, dann hat sie das bedeutendste Einfallstor recht gut unter Kontrolle bekommen.
A. K. schrieb: > Wenn die IT das wirklich durchkriegt, dann hat sie das bedeutendste > Einfallstor recht gut unter Kontrolle bekommen. Ja, aber was ist so ein gehackter PC gegen ein Menschenleben - deshalb kommt dann der Nächste, sperrt alle Werkzeuge weg, der nächste alle Firmenfahrzeuge,... Und irgendwann kommt dann ein ganz anderer, sperrt die Tür zu Irgendwo muss man leider auch mal bremsen, deshalb meine Fragen hier
Weshalb deine Extrapolation ins Extrem wenig sinnvoll ist. Grad so wie das andere Extrem, jedem alle Rechte für alles und vollen Durchgriff auf alles zu ermöglichen. Weshalb man in der Praxis irgendwo zwischendrin landet. Da gibts aber kein fertiges Rezept für. Eine Bankfiliale muss nicht sämtliche Newsletter dieser Weltensphäre abonnieren, während ein Medienunternehmen davon lebt. Ein Entwickler wird schon mal EXEs verschicken wollen, bei einem Versicherungsangstellten fände ich das aber merkwürdig. Wie weit man Restriktionen treibt, kann also durchaus davon abhängen, ob man Brötchen, Versicherungen, Programme oder Nachrichten vertreibt.
:
Bearbeitet durch User
@prx: mal wieder sehr passend geschrieben! Heinz R. schrieb: > Ja, aber was ist so ein gehackter PC gegen ein Menschenleben - deshalb > kommt dann der Nächste, sperrt alle Werkzeuge weg, der nächste alle > Firmenfahrzeuge,... Vielleicht hägt an einem Computervirus kein Menschenleben, aber vielleicht die Existenz der Firma, damit Dein Gehalt und auch Dein Wohlstand. Aber: Was willst Du denn nun erreichen? Ist der Zustand für Dich so untragbar? Im allerschlimmsten Fall musst Du halt die Firma wechseln, wenn Dir die Spielregeln dort nicht mehr passen. Aber wo anders ist auch nicht alles Gold was glänzt. IT-Infrastruktur ist Werkzeug, wie man mit dem Werkzeug umzugehen hat, entscheidet letztendlich der, der es bezahlt.
Sven L. schrieb: > Aber: Was willst Du denn nun erreichen? Ist der Zustand für Dich so > untragbar? Ja, ist er, hier wird der Bock zum Gärtner gemacht, wir hatten über Jahre so Dinge wie von aussen per HTTP erreichbare Server usw Mag das nicht alles im Detail erklären - aber derjenige der es mit verbrochen hat ist jetzt der Retter - es dauert jetzt mindestens 4 Wochen bis man alles wiederhergestellt hat - dauert es dann nur 3 ist er der Gott Sven L. schrieb: > Im allerschlimmsten Fall musst Du halt die Firma wechseln, wenn Dir die > Spielregeln dort nicht mehr passen. Ja, entsprechende Überlegungen laufen, aber nicht aus reiner Unzufriedenheit, sondern weil gerade einige zuschauen müssen wie Ihr Werk aus Jahrzenten kaputt gemacht wird, IT ist nicht mehr der Dienstleister im Hintergrund sondern sagt wie eine Firma heutzutage funktioniert Sven L. schrieb: > IT-Infrastruktur ist Werkzeug, wie man mit dem Werkzeug umzugehen hat, > entscheidet letztendlich der, der es bezahlt. Deshalb mus ich wohl leider die Chefs bitten entweder einen neutralen Berater hinzuzuholen und unbedingt nur mit diesem direkt zu sprechen- oder aber Foren wie dieses zu lesen Wobei - gibt es diese Berater überhaupt? Wir haben jetzt solche Experten da, diese werden mit einem fürstlichen Tagessatz bezahlt - die haben doch gar kein Interesse dran, nach 2 Tagen zu sagen, alles ok, sondern bauschen das Problem aus Eigeninteresse immer noch weiter auf? Bin gespannt wann alle Tastaturen und Displays getauscht werden, auch da könnte ja theoretisch gelauscht werden Unser Produkt ist übrigens eines, bei dem 99% der Mails, Datenbanken usw öffentlich sein könnten, uns würde kein Schaden entstehen Wir haben keine geheimen Technologien oder ähnliches
Oben fängst du mit Ransomware an, nun bist du bei Firmenspionage. Das sind dann doch recht verschiedene Spektren der IT. Bist du sicher, dass es dir um Antworten auf Fragen geht? Oder muss bloss der Frust raus?
:
Bearbeitet durch User
Heinz R. schrieb: > Ja, ist er, hier wird der Bock zum Gärtner gemacht, wir hatten über > Jahre so Dinge wie von aussen per HTTP erreichbare Server usw Unbestätigten Gerüchten zufolge soll es mehrere Firmen geben, die von extern erreichbare Server betreiben. Unwissende Kommentatoren behaupten, dass das sogar ohne große Risiken machbar wäre. Heinz R. schrieb: > Deshalb mus ich wohl leider die Chefs bitten entweder einen neutralen > Berater hinzuzuholen und unbedingt nur mit diesem direkt zu sprechen- > oder aber Foren wie dieses zu lesen Ersetze 'Foren lesen' durch 'Foren zumüllen'. Du hast keine Ahnung von der Materie und bist nicht in der Lage, die Dir bislang gelieferten Erklärungen zu begreifen.
Heinz R. schrieb: > Unser Produkt ist übrigens eines, bei dem 99% der Mails, Datenbanken > usw öffentlich sein könnten, uns würde kein Schaden entstehen Das glaubt nur der kleine Fritz. Ein Verkäufer wird nie alle Kunden und Lieferanten preisgeben. Da könnte er seinen Laden schließen. Scheinbar ist Dir die Brisanz mancher Dinge noch nicht bewusst.
Sven L. schrieb: > In einer Firma sollten auf den Rechnern selbst eigentlich keine Daten > liegen, sondern auf dem Server, welcher auch regelmäßig gesichert wird. > > Oder Drucker sollen als Ressource für jeden gleich funktionieren. > > Und, wenn ein Client nicht mehr tut, wie er soll, dann muss man diesen > einfach platt machen können, ohne überlegen zu müssen, was dann alles > nicht mehr läuft. Das klingt gut, funktioniert aber nur, wenn die Datenmengen "klein" sind, die übers Netztwerk müssen. Was genau "klein" ist, hängt natürlich vom Geldbeutel ab... Manfred schrieb: > Die Admins leben in einer realen Welt, Benutzer, die alles anklicken und > keinen Schimmer von den Risiken haben. Ich hatte viele Gespräche mit dem > Admin und dabei ein gewisses Maß an Verständnis für seinen Scheißjob > entwickelt. Das hast du gut gesagt, "einer realen Welt", es gibt auch die anderen realen Welten der nicht Admins. In diesen andren Welten, muss man manchmal mehrere Wochen warten, bis die eine Bibliothek installiert wird. Oder, wo einem nicht erklärt werden kann, warum das tolle neue Cluster-Filesystem so viel langsamer ist, als das alte. Es gibt vermutlich für jede Dummheit, die ein Andwender begeht, eine Fall, wo die IT ein reales Problem eines Andwenders ignoriert.
mh schrieb: > In diesen andren Welten, muss man manchmal mehrere Wochen warten, > bis die eine Bibliothek installiert wird. Und der Personaler hat gefälligst keine Bibliotheken zu installieren. Der Kundenservice auch nicht. Der Vertriebler schon garnicht. Bei uns können Softwareentwickler lokale Admin-Rechte beantragen. Im Gegenzug wird die IT bei auftretenden Problemen nicht tiefgreifend debuggen, sondern im Zweifelsfall auf den Nutzer zeigen und das Gerät neuinstallieren. (Ausnahmen bestätigen die Regel.)
Man kann das auch zweiteilen. Entwickler kriegen VMware WS, genug RAM, eine zweite Netzwerkkarte und eine USB-Disk. Die virtuelle Welt erlaubt ihnen alles mit selbst installierten VMs, aber dafür sind sie in einem abgekoppelten Netz mit viel Freiheit nach aussen und wenig nach innen unterwegs und müssen für den Backup der VMs auf die USB Disk selber sorgen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.