Re: warum PnP Dienst über Netzwerk?

Daniel Melanchthon [MSFT] wrote:

> Frank Lindner schrieb:
> Zum Beispiel Domänenmitgliedschaft. Oder Zertifikate. Oder Passworte. Da
> ist eine Menge denkbar.
>
>> Symantec-Virenscanner installiert, so daß das Sicherheitscenter nicht
>> mehr PopUp Unterhaltung macht.
>

siehe unten, Stichwort Prüfung des Clients bevor er ins LAN kommt,
insbesondere Virenfreiheit.


> Wenn Du meinst, dass man mit Windows keine vernünftigen Netze aufbauen
> kann und im Gegensatz dazu das mit Linux problemlos funktioniert, dann ist
> die Diskussion an dieser Stelle schwierig. Vielleicht haben wir da einfach
> verschiedene Standpunkte.

Es geht nicht um Windows oder Linux, sondern um Maßnahmen zur
Zielerreichung.


> Mhm. Was hat das jetzt mit dem eigentlichen Thema zu tun? Da kann ich auch
> antworten: Übrigens gibts den RDP-Client für Apple auch von Microsoft.
> Irgendwie kann ich Dir jetzt nicht richtig folgen.

Wenn ich einen MS-TerminalServer habe muß ich den Port öffnen. Durch Nutzen
eines anderen Clients kann ich die Gefahr eines Angriffs auf diesen Port
reduzieren. Das ist eine Maßnahme und kann der Zielerreichung dienen.


>> Nochmal, ich habe 100 % Sicherheit gar nicht in meinem Zielkatalog.
>> Was besser oder schlechter ist kann man nicht pauschal beantworten. Das
>> hängt von den Anforderungen und der Umgebung ab.
>> Man ist bloß eben kein Gefangener seiner Probleme, sondern es gibt
>> Alternativen.
>
> Genau. Das stimmt. Nur ist die von Dir gezeigte Alternative keine
> grundsätzliche Lösung des Problems, sondern nur eine Verlagerung auf ein
> anderes OS. Was man aus Blaster & Co lernen konnte, war die Tatsache, dass
> der klassische Firewalleinsatz interne Netze nicht gegen Dinge wie
> verseuchte Privat-Notebooks schützt. Hier muß man weiterdenken und 802.1X
> mit restriktiver Kontrolle, wer in das Netz darf, sowie
> Netzwerk-Quarantäne klingen für mich vernünftiger als Dein Vorschlag.

Du stellt das ganze auf Prüfungen ab, die Möglichkeit der Prüfungen siehe
weiter unter. Ich nehme auch sinnvolle Möglichkeiten der Prüfung mit,
betreibe aber parallel Schadensminimierung durch Verringerung der
Wahrscheinlichkeit des Auftretens eines Schadens.

>> Es ist ein drohendes Problem und dann sitzt man da wie der OP und grübelt
>> eine Woche nach Erscheinen des Patches und aufgeschreckt durch
>> Pressemeldungen da und überlegt was man tun soll.
>> Man macht sich vorher Gedanken.
>> Eine Lösung hatte ich dazu aufgezeigt und auch darauf hingewiesen, daß es
>> nicht überall paßt.
>
> Und was macht der OP, wenn Deine Lösung überall benutzt wird? Die
> Wahrscheinlichkeit, die Du so gern bemühst, steigt mit dem
> Verbreitungsgrad der Lösung. Deine Lösung läßt ihn dann da aufschrecken,
> wenn ein Problem in Samba oder OpenVPN auftritt.

Bis dahin kann man ruhig egoistisch sein. Ein Samba-Fileserver macht eben
weniger Sorge als ein Win2k Rechner, wobei mir auch unverständlich ist
wieso man noch mit alten ausgelaufenen Betriebssystemen arbeitet. Win2003
konnte man schon vor einem Jahr stabil einsetzten.
Win2k ist aus der allgemeinen Wartung. Hofft man auf Preissenkungen bei
Win2003 oder warum warten manche Firmen. Oder will man Win2003
überspringen, na ob das funktionieren wird. NT auf 2003 ging ja noch, aber
ob Win2k solange durchhält?


>> Die Frage ist was ein verseuchter Laptop für Schaden anrichten kann.
>> Er kann z.B. ungepachte FileServer mit Win2000 zerstören.
>
> Genau deswegen sollte der erst LAN-Zugriff erhalten, wenn er geprüft
> wurde, auf dem aktuellen Patchlevelstand ist und der Virenschutz aktuell
> ist. Dahin wird die Reise imho zukünftig gehen. Die ersten Ansätze sind ja
> schon gemacht.

Das ist eben nicht prüfbar.

http://virusscan.jotti.org/de/


>> Es ist nicht möglich festzustellen ob ein Laptop verseucht ist oder
>> nicht, also mache ich mir Gedanken über Schadensminimierung.
>
> Wieso ist das bei dem jetztigen Wurm nicht feststellbar? Du kannst ja auch
> den Patchlevelstand des Clients prüfen.

Weil man es erst hinterher weiß, nicht vorher. Es kann auch alles mal anders
kommen.

>> MS geht von der falschen Annahme aus, daß es möglich ist festzustellen ob
>> ein Rechner verseucht ist oder nicht. Das ist aber genauso Quatsch wie
>> 100 % Sicherheit.
>
> Wieso ist das nicht möglich (bei bekannten Viren)?

nach 3 Monaten Quarantäne ist das wohl möglich mit knapp 100% Sicherheit zu
prüfen.
Vorher liegen die Quoten eher bei größter Unsicherheit. (siehe oben)

>> Das ist dann im Ergebnis wie bei den MdB, die können nicht mal einen
>> Apple Laptop ans Netz anschließen. Das soll sich jetzt wohl ändern.
>
> Könntest Du das mal etwas näher ausführen? Aus welchen Gründen kann ein
> MdB das nicht? Links zum Nachlesen?

http://www.heise.de/newsticker/meldung/59163


>> Ich sehe dieses Produkt als Teil der Strategie von MS die Kundenbindung
>> zu erhöhen. Kann da aber keine generellen Vorteile entdecken, eher im
>> Gegenteil.
>
> Welches Produkt meinst Du jetzt speziell?

http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx


>> Abhängig vom Szenario können sich die Laptops können auch lokal über VPN
>> einwählen. Es muß nicht zwingend ein Unterschied gemacht werden, nur weil
>> jetzt der Laptop physikalisch da ist.
>
> Wenn ein verseuchter Laptop eine VPN-Verbindung öffnet, dann kann er
> genauso darüber das LAN infizieren. VPN schützt Dich ncht dagegen - da
> hilft nur Netzseparierung und Netzwerk-Quarantäne.

oder ich behandle ihn wie sonst auch, er geht eben über VPN ins Netz.

Wozu Sonderregelungen wenn der Laptop im Haus ist?

> Und mit zertifikatsbasierendem IPSec kannst Du unter Windows über
> Gruppenrichtlinien ohne Benutzerkonfiguration direkt Server absichern.
> Daher finde ich Deine OpenVPN-Lösung nicht für *besser geeignet*.
>

IPSec vs. OpenVPN ist eine eigene Diskussion.




.

Relevant Pages

  • Re: Client with both Workstation and Laptop
    ... In most cases it is wise to leave sync enabled for MyDocument folders ... I have a couple of laptop users who use this ... not as a replacement for offline files). ... By default setup all the clients are setup for My Documents being ...
    (microsoft.public.windows.server.sbs)
  • Re: Client with both Workstation and Laptop
    ... If you go to the Users page in the Server Mgmt console, ... wizard again to disable redirection. ... I have a couple of laptop users who use this very happily (to back ... By default setup all the clients are setup for My Documents being ...
    (microsoft.public.windows.server.sbs)
  • Re: Screen resolutions needed for development enviroment
    ... > development work at clients offices using my laptop. ... > 800x600 resolutions if I will need more at some point. ...
    (comp.databases.ms-access)
  • Re: Help! Broke my SBS 2003 network :(
    ... Your laptop isn't seeing the SBS2003, ... > All were working wonderfully with a vanilla install of SBS. ... VOIP worked and web worked ... but the clients can't connect. ...
    (microsoft.public.windows.server.sbs)
  • Re: Frage wegen sehr gutem Kontakt-Spray!
    ... Kilometer eben erst nach lautem Tröten und expliziter Bestätigung ... Laptop oder Schnurlostelefon.... ... Bei meinem Handy und Schnurlostelefon hatte ich noch nie Probleme ... aber einerseits sind die beiden Akkus eben einfach ...
    (de.sci.electronics)
Loading