Re: warum PnP Dienst über Netzwerk?

Frank Lindner schrieb:

Es geht nicht um Windows oder Linux, sondern um Maßnahmen zur
Zielerreichung. 

Da fand ich die von Michael schon vorgeschlagenen Maßnahmen ja nicht schlecht:

"Dann bleiben noch Notebooks als potentielle Seuchenträger und die patcht
man entweder oder steckt sie in ein Quarantänenetz, wenn der Server
wirklich nicht gepatcht werden kann."

Danach kam Dein Samba-Vorschlag, sind wir bei Linux. Deine Emailadresse geht ja auch in die Richtung.

Gegen Deine Maßnahmen zur Zielerreichung spricht einiges: Was ist, wenn die sensitven Aufgaben Software verlangen, die nicht terminalservertauglich ist? Was ist mit den Benutzern? Begreifen die, dass sie zuerst eine Internetverbindung herstellen müssen, dann den OpenVPN-Client starten sollen (geht das auch als Nonadmin?) und danach die RDP-Verbindung aufbauen müssen um arbeiten zu können? Ich kenne Netze, in denen das ähnlich ist und der Helpdesk-Aufwand ist enorm. Die User vergessen die Reihenfolge, verwechseln lokal mit "in der Session", rebooten den Client, wenn es ein TS-Problem gibt, etc.

Wie gesagt: Ich sehe den Sinn in dem Vorschlag, einen Sambaserver aufzusetzen, nicht. Was ist daran besser als Michaels Ideen in Bezug auf die Frage des OP?

Wenn ich einen MS-TerminalServer habe muß ich den Port öffnen. Durch Nutzen
eines anderen Clients kann ich die Gefahr eines Angriffs auf diesen Port
reduzieren. Das ist eine Maßnahme und kann der Zielerreichung dienen.

Vorhin sprachst Du noch von Windows Wegwerf-Clients. Das klang für mich nach ungemanaged. Die sollten direkt den Samba-Server als Fileablage und für sensitive Aufgaben einen Windows-TS nutzen. Jezt bist Du bei Linux auf den Wegwerf-Clients.

Mein Kritikpunkt sind die "Wegwerfclients". Sobald der Server Port 3389 zugänglich macht, ist ein Angriff auch darüber nicht ausgeschlossen. Was ist daran sicherer gegenüber dem Öffnen von Port 445?

Genau deswegen sollte der erst LAN-Zugriff erhalten, wenn er geprüft
wurde, auf dem aktuellen Patchlevelstand ist und der Virenschutz aktuell
ist. Dahin wird die Reise imho zukünftig gehen. Die ersten Ansätze sind ja
schon gemacht.


Das ist eben nicht prüfbar.
http://virusscan.jotti.org/de/

Hab ich gerade aufgerufen. Da kann man Dateien auf Viren durch Upload serverseitig scannen lassen. Was hat das mit dem Thread jetzt zu tun?

Wieso ist das bei dem jetztigen Wurm nicht feststellbar? Du kannst ja auch
den Patchlevelstand des Clients prüfen.


Weil man es erst hinterher weiß, nicht vorher. Es kann auch alles mal anders
kommen.

Da sollten wir also zwischen bekannten Schädlingen und unbekannten Schädlingen unterscheiden. Bei ersteren (wie jetzt am aktuellen Beispiel zu sehen) funktioniert mein Vorschlag klaglos. Bei letzterem hlft Dir kein System, weil es in der Natur einer Zeroday-Attacke liegt, dass es dagegen keinen Schutz gbt. Das kann Dir genauso bei Deiner Lösung passieren.

Wieso ist das nicht möglich (bei bekannten Viren)? 

nach 3 Monaten Quarantäne ist das wohl möglich mit knapp 100% Sicherheit zu
prüfen.
Vorher liegen die Quoten eher bei größter Unsicherheit. (siehe oben)

Da bin ich anderer Ansicht. Die Reaktionszeiten der AV-Hersteller liegen deutlich darunter.

Das ist dann im Ergebnis wie bei den MdB, die können nicht mal einen
Apple Laptop ans Netz anschließen. Das soll sich jetzt wohl ändern.

http://www.heise.de/newsticker/meldung/59163

So einen wenig fundierten Artikel habe ich selten gelesen. Ich weiß auch nicht, was das als "Argument" hier beitragen soll. Da steht nichts über die Hintergründe und deswegen ist es müßig, darüber zu spekulieren.

Ich sehe dieses Produkt als Teil der Strategie von MS die Kundenbindung
zu erhöhen. Kann da aber keine generellen Vorteile entdecken, eher im
Gegenteil.

Welches Produkt meinst Du jetzt speziell?

http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx

Das ist aber ein Produkt, das Du käuflich erwerben mußt, sondern ein kostenfreies Addon zu Deiner bestehenden Windows 2003-Version. Ab Windows 2003 R2 ist wird es mitgeliefert. Und Du wirst Microsoft doch sich noch gestatten, Dinge für seine Kunden zu entwickeln, oder ;-)

--
..:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.
.

Relevant Pages

  • =?iso-8859-15?Q?Re:_Aufgaben_f=FCr_Arbeitsgruppe_verwalten?=
    ... aber eine Zuordnung von Aufgaben ... Aber "eine Art Synchronisation" klingt nicht wirklich vertrauenerweckend, und wenn die Internetverbindung doch einmal ausfällt... ... dass man den MS Small Business Server 2003 für 370 Euro bekommt. ... Da sei neben Exchange noch allerlei anderes nützliches dabei. ...
    (microsoft.public.de.outlook)
  • Re: Time-Anweisung und Vista UAC
    ... von einem anderen Rechner (Server) im Netzwerk per NetRemoteTOD ... Siehe mein Vorschlag, ein in VB von Dir selbst geschriebenes Miniprogramm als Aufgabe unter Vista beim Systemstart oder bei der Anmeldung eines Benutzers einmalig und automatisch mit den erforderlichen Rechten laufen zu lassen. ... Dieses Miniprogramm braucht nichts weiter zu tun, als wie gehabt per NetRemoteTOD die Zeit abzuholen und als lokale Systemzeit des Rechners zu setzen - genau so, wie Du es eigentlich für Deine Gesamtapp gedacht hattest. ...
    (microsoft.public.de.vb)
  • Re: =?ISO-8859-1?Q?F=FCr_gr=F6=DFeres_Projekt=3A_mySQL_o?= =?ISO-8859-1?Q?der_msSql=
    ... Es gibt wirklich *sehr* wenige Aufgaben, ... die mit SQL Server gut funktionieren. ... Server nicht auf richtigen Betriebssystemen - und damit auch nicht ...
    (de.comp.datenbanken.mysql)
  • Re: Fremdcancel aus strafrechtlicher Sicht
    ... > Jakob Creutzig writes: ... >>> Es ist trotzdem ein Vorschlag. ... >> Vorschlag, wenn ich zu A die Eingabe X schicke, sondern ... was denn auf Server A passiert und wem das zuzurechnen ...
    (de.soc.recht.datennetze)
  • Formular mit Exchange oder gehts auch ohne
    ... Datenbank (Outlook nennt das offenbar Ordner) für Kontakte und Aufgaben. ... Der Gemeinsame Ordner ist momentan durch AVM Ken! ... einem Server läuft. ...
    (microsoft.public.de.outlook)