Forum: PC Hard- und Software Domänencontroller -heutzutage noch sinnvoll?

Heinz R. schrieb:
> Funktioniert so leider nicht, da viele Mitarbeiter ständig Software
> installieren / deinstallieren müssen

Es gibt ein paar banal klingende, aber nicht allzu oft verfolgte 
Strategien, die dennoch sinnvoll sein können: Erst denken, dann handeln. 
Erst zielen, dann schiessen. Allzu oft läufts andersrum.

Soll heissen: Arbeitsstrukturen erfassen, in Tätigkeitsfelder und 
Sicherheitsbereiche aufdröseln, Rechte verteilen - aber nicht mit der 
Giesskanne.

Müsst ihr in jedem Netzbereich und auf jedem Rechner vogelwild 
installieren, jeder für sich? Oder lässt sich das auch etwas geordneter 
einrichten, Bereiche trennen?

> Jetzt wurde der alte Firmenserver gehackt, Ransomware,...

Ist eine gute Gelegenheit, obige Strategien mal anzugehen. Der nötige 
Leidensdruck ist da, die Kosten der bisherigen Strategie "Durchwursteln" 
wurden deutlich.

> In der aktuellen ct war ein Bericht, das Dmänenserver von MS auch nicht
> mehr so wirklich gerne gesehen sind...

Was ist denn die Alternative? Cloud ist auch sowas in der Art, nur 
grösser und von anderen Leuten gemanaged. Sinnvoll, wenn man für eigenes 
Knowhow zu klein ist.

> Funktioniert das?

Für dich vielleicht. Insgesamt: nein. Es sei denn, du schreibst hier 
über eine 5-Nasen-Firma.

Einen Nebeneffekt hat organisiertes Vorgehen: Es baut Hürden auf, über 
die sich manche ärgern. Weshalb sowas am besten dann machbar ist, wenn 
jeder gemerkt hat, dass das bisherige Vorgehen auch nicht das Gelbe vom 
Ei war.

Sicherheit ist halt immer unbequem und natürlich ist es nevig, weil was 
nicht läuft und man erst suchen muss, warum und wieso es nicht läuft.

Die Argimentation von Laien ist ja immer: "aber bei mir Zuhause..."

Natürlich ist es einfacher ein Heimnetz aufzubauen, bei dem jeder tut 
was er will.

In einer Firma sollten auf den Rechnern selbst eigentlich keine Daten 
liegen, sondern auf dem Server, welcher auch regelmäßig gesichert wird.

Oder Drucker sollen als Ressource für jeden gleich funktionieren.

Und, wenn ein Client nicht mehr tut, wie er soll, dann muss man diesen 
einfach platt machen können, ohne überlegen zu müssen, was dann alles 
nicht mehr läuft.

Aber klar, heute will jeder alles tun und machen, egal, was er von IT 
versteht und die Firmen sollen tollerieren, das die Leute installieren, 
wozu Sie gerade Bock haben. Und Maßnahmen der Regulierung werden dann 
als Gängelung bezeichnet.

Muss jeder überall Zugriff haben?

Ich hab auch schon Diskussionen geführt, ob ich einem Mitarbeiter sein 
Lieblingsstreamingprogramm installiere oder MP3-Player xyz.

Ich hab schon erlebt, das ein MA gekündigt wurde, weil er auf einem 
Kundenrechner oder Netzlaufwerk seine private MP3-Sammlung hatte und das 
völlig normal fand.

Oder einer hat mal ständig Alarme vom Virenscanner ausgelöst, weil er 
irgendwelchen Schweinkram gucken musste, der sollte eigentlich 
Probearbeiten...

Hallo Sven,

gebe Dir total Recht -
nur, frage mich, was spricht denn gegen dieses große "Heimnetzwerk"?

Welche Vorteile hat ein Domänencontroller heutzutage noch?

Bei uns in der Firma ist das Problem momentan eher das die Admins in 
einer Scheinwelt leben - die Anwender überhaupt nicht verstehen wollen

Beispiel: ab sofort keine Excel oder Word-Anhänge mehr in Mails

Microsoft wird doch wohl wissen was sie da tun?

Mein Einwand: Einer meiner Kunden hat ca. 200.000 Mitarbeiter, 
DAX-Konzern - da ist das so ok, ich muss da mit spielen - Antwort der 
Admins unserer 100 Mann - Butze: Ich erkläre denen gerne wie das richtig 
gemacht wird...

Heinz R. schrieb:
> Beispiel: ab sofort keine Excel oder Word-Anhänge mehr in Mails
>
> Microsoft wird doch wohl wissen was sie da tun?

Es gibt auch in der heutigen Zeit Leute, die von IT wenig bis keinen 
Plan haben.

Bsp:

So kannte ich mal eine Dame, die bat ich Word zu öffen und mir zu 
zeigen, was nicht geht...

Die macht den Explorer auf, geht auf ein Netzlaufwerk, öfent irgendwann 
ein Dokument und löscht dort alles raus.

Die Kriminellen dieser Welt werden immer gewitzter.

Fragebogen.doc.exe oder so... Auch mit Makros in Dokumenten kann man 
viel kaputt machen. Mails mit entsprechenden Anhängen hat der 
Contentfiler geschnappt und zum Admin umgeleitet, dieser hat entschieden 
und weitergeleitet.

Du klickst als Anwender heute irgendwo drauf und nix passiert, und 
Wochen oder Monate später schnappt die Falle zu.

Mich hat mal ein Kunde angerufen, ich müsse schnell kommen, die Bank hat 
ihm das Konto gesperrt, weil Fremde drauf waren.

Dort war es wie beschrieben, der Rechner war infiziert, doch es ging 
erst viel viel später los... Vor Wochen habe er mal was angeklickt.

Weniger Rechte = weniger Angriffsfläche.

Gerade in Firmen laufen noch haufenweise XP, aber eben auch NT-Kisten 
für irgendwelche Gerätschaften, wo man nicht mal fix Win 10 drauf packen 
kann.

Welche Vorteile hat ein DC?

Ich stelle alle Rechner gleich ein, für jeden Benutzer.

Bsp: Explorer soll auf dem Ziel "Mein Computer" geöffnet werden, statt 
"Favoriten".

Einheitliches Hintergrundbild, Zugriff auf Ressourcen, Verteilen von 
Benutzerrechten...

Anmeldung an jedem PC in der Domain.

Ja, aber man darf sich doch als IT.Admin nicht hinstellen und pauschal 
alles sperren?
Man ist böse gesagt nur Dienstleister in der Firma

Wenn ich jetzt alle vor ihrer eigenen Dummheit schützen muss  soll ich 
jetzt alle Sägen und Bohrmaschinen weg schließen?

rlebe halt gerade leider bei uns eine ungeheime Wichtigtuerei der 
Admins, der Vorstand blickt es nicht, denke es wird bald sehr böses Blut 
geben

Deshalb meine Frage - braucht man in der heutigen Zeit noch einen 
lokalen Domänencontroller?

Heinz R. schrieb:
> an ist böse gesagt nur Dienstleister in der Firma

Wer nach allen Seiten offen sein will, der kann nicht ganz dicht sein.

Wenn die Firma auch nach einem Problemfall sich nicht dazu aufraffen 
kann, etwas restriktives System ins flexible Chaos zu bringen, kann der 
Admin wirklich nix für. Ausser vielleicht, dass es zu seiner Aufgabe 
gehören kann, die Problematik darzustellen.

Heinz R. schrieb:
> rlebe halt gerade leider bei uns eine ungeheime Wichtigtuerei der
> Admins, der Vorstand blickt es nicht, denke es wird bald sehr böses Blut
> geben

Als Admin ist mal halt Herr über das Netzwerk und hat seine Neider, ganz 
klar!

Als Betriebselektriker hat man auch den Schlüssel zur Trafostation, da 
darf auch nicht jeder rein um mal an die Sammelschiene zu fassen.

Als normaler Mitarbeiter kommst Du auch nicht in die Buchhaltung, ins 
Sekretariat oder ins Personalwesen, jedenfalls nicht allein!

Warum sollst Du dann als Mitarbeiter Zugriff auf ein komplettes 
IT-System bekommen?

Das den Anwendern die Restiktionen der Administratoren i.d.R nicht 
passen ist dabei nichts neues.

Das es Admins gibt, die sich besonders wichtig tun, ist auch normal.
Klar gibt es Wichtigtueradmins...

Gern wird können von Neidern auch als Arroganz gesehen...

Heinz R. schrieb:
> Man ist böse gesagt nur Dienstleister in der Firma
Genau, und dieser Dienstleister ist verantwortlich dafür, dass alles 
funktioniert.
Aber bezahlt wird die IT vom Unternehmen, nicht vom Mitarbeiter, ein 
kleines aber wichtiges Detail das gerne von den Nicht-IT-Mitarbeitern 
vergessen wird. ;)

In einer durchschnittlichen Firma ist alles vertreten vom DAU (neben dem 
eigentlich ständig ein IT-ler mit dem Rohrstock stehen müsste) bis hin 
zum IT-Profi (damit sind natürlich nicht die selbsternannten "Profis" 
gemeint).
Der DAU macht ständig Probleme, wenn man ihm die Möglichkeiten dazu 
gibt. Bringt verseuchte Datenträger von zuhause mit, surft auf dubiosen 
Seiten, klickt treudoof auf jeden Link in Spam-Mails und führt die 
Anweisungen pflichtgetreu aus, will bestimmte Programme weil er andere 
nicht benutzen kann/können will, etc.
Der wirkliche Profi hingegen braucht bestimmte und besondere Programme 
und Rechte, um seine Arbeit überhaupt ausführen zu können.

Um sich also selbst Arbeit zu ersparen und mögliche Schäden zu 
minimieren (die der Firma enorm Geld kosten können), wird die IT also 
logischerweise möglichst restriktiv agieren.
Das heißt, pauschal erst mal fast alles was Probleme machen könnte 
verhindern/verbieten.
Oder wäre es dir recht, wenn jeder in deiner Firma uneingeschränkten 
Zugriff auf deine Personal- und Lohndaten hätte?
Wenn jemand wirklich besondere Rechte, Programme etc. braucht, stellt 
man das für diese Personen auf Antrag zur Verfügung, indem man sie in 
entsprechende User-Gruppen steckt.

Klar ist das vielleicht manchmal etwas unangenehm, aber eben notwendig.
Schon allein die Verwaltung der Netzwerk-Shares wird ohne DC recht 
pflegeintensiv und spaßig, oder aber jeder kann überall schreiben und 
lesen was er lustig ist.

Wenn es keine gemeinsam genutzten Netzlaufwerke gibt, kann man sich den 
DC natürlich sparen, dann müssen die Daten eben jedes Mal per Mail oder 
USB-Stick transportiert werden, kein Problem...
Einen zentralen Mail-Server braucht es dann natürlich auch nicht, das 
kann auch restriktionsfrei per Web-Mailer bei den bekannten 
Freemail-Diensten erfolgen.
Jeder darf auf seiner Kiste treiben was er will ohne böse Gängelung, 
kann alle seine Privat-PCs in die Firma schleppen und dort anstöpseln, 
und wenn einen der böse Virus erwischt, muss man eben selber sein System 
neu aufsetzen und die selbst gesicherten (und hoffentlich virenfreien) 
Daten wieder einspielen, ist ja kein Akt.
Und falls eine solche Sicherung nicht vorhanden ist, stürzt man sich 
eben aus dem nächsten Kellerfenster in den Tod. ;)
Falls es zufällig der PC in der Lohnbuchhaltung war, gibts halt erst mal 
keinen Lohn, kein Problem, die paar Wochen oder Monate bis alles wieder 
neu erfasst worden ist und der Lohn wieder kommt, kann man auch mit 
seinem Dispo oder einem kleinen Kredit überbrücken...

Gerade bei Ransomware wäre die Lösung aber eigentlich recht einfach: Die 
Netzwerk-Shares liegen nicht auf irgendwelchen Windows-Kisten (wo man 
dann erst langwierig das Backup einspielen muss), sondern auf Linux/BSD 
Servern mit CoW Dateisystem wie ZFS mit Snapshots.
Da kann die Ransomware verschlüsseln was sie will, mit einem simplen 
Rollback ist sofort alles wieder wie vorher, nachdem man den 
Angriffsvektor beseitigt hat.

Und natürlich hat ein DC auch noch mehr Vorteile, die zum Teil auch 
schon genannt wurden:
Anmelden auf jedem beliebigen Gerät möglich, automatische Verbindung zu 
den richtigen Druckern, Windows, Outlook usw. ist gleich richtig 
eingerichtet und kann sofort benutzt werden, andere Software wird beim 
ersten Start automatisch nachinstalliert usw.
Hast du das nicht, bist du nach Hardware-Wechsel erst mal nen halben Tag 
beschäftigt alles wieder so einzurichten wie es war, Arbeiten am PC vom 
Kollegen ist auch schlecht möglich etc.

*Dieser Beitrag kann Spuren von Ironie enthalten.

Stefan B. schrieb:
> dann müssen die Daten eben jedes Mal per Mail oder
> USB-Stick transportiert werden

Die modernisierte Version vom USB-Stick heisst Dropbox.

> Netzwerk-Shares liegen nicht auf irgendwelchen Windows-Kisten (wo man
> dann erst langwierig das Backup einspielen muss), sondern auf Linux/BSD
> Servern mit CoW Dateisystem wie ZFS mit Snapshots.

Yep. Windows kann allerdings auch Snapshots, wenn auch nicht per CoW.

Ein Domainen Controller vergibt die Rechte zum Arbeiten in der Domain. 
Ja, man kann auch mit dem eigenen Notebook am Gast WLAN arbeite. Aber 
diesen Leuten wuerde ich so keinen Zugriff auf sensible Firmendaten 
geben.

In einer Bank zB ist der PC im Keller, Die Mouse, das Keyboard, und der 
Bildschirm ist per langem Kabel angeschlossen. Das eigene Handy wird am 
Eingang abgegeben.

Pandur S. schrieb:
> In einer Bank zB ist der PC im Keller, Die Mouse, das Keyboard, und der
> Bildschirm ist per langem Kabel angeschlossen.
Hab ja schon viel gehört, aber sowas noch nie.

Üblicherweise verwendet man Thinclients, die vom Server genau das laden, 
was am jeweiligen Client benötigt wird, bzw. dies als 
Terminalserververbnindung zur Verfügung gestellt...

A. K. schrieb:
> Die modernisierte Version vom USB-Stick heisst Dropbox.
Stimmt, hatte ich ganz vergessen.
Wobei ein bestenfalls verseuchter USB-Stick besser zum Beispiel passt 
<gg>

A. K. schrieb:
> Windows kann allerdings auch Snapshots, wenn auch nicht per CoW.
Richtig, wobei mit gewissen Einschränkungen zu rechnen ist, weil MS 
leider kein CoW Dateisystem anbietet bzw. unterstützt.
Zum einen könnte die Performance etwas leiden, weil der VSS für eine 
gewisse Zeit die I/Os anhalten muss.
Und zum anderen kann soweit ich weiß das Bootlaufwerk nicht 
gesnapshotted werden, und die Anzahl der Snapshots ist limitiert.
Aber für reine Daten-Shares sollte das nicht ins Gewicht fallen.

Heinz R. schrieb:
> Bin zugegeben gerade am überlegen, nur noch mit eigenem Notebook zu
> arbeiten, das Firmen-Notebook in der Schublade zu lassen und mich dieser
> Gängelung zu entziehen
>
> Funktioniert das?

Selbstverständlich funktioniert das. Back to the roots, jedem seinen 
Einzelplatzrechner, wie vor 30 Jahren. Gemeinsame Nutzung von 
Datenbeständen, Druckern und anderen Ressourcen ist sowas von out. Am 
besten ohne Netzwerk, denn wo keines ist, kann sich auch keine 
Schadsoftware darüber verbreiten. Um die Datensicherung kümmert sich 
wieder jeder selbst. Oder auch nicht, ist dann jedem sein Problem. 
Genauso wie der Datenabgleich mit anderen.

Im Ernst, wer solche Fragen stellt, hat nicht den geringsten Plan von 
Netzwerkadministration. Natürlich kann man ein Netzwerk ohne DC 
aufbauen. In SoHo-Umgebungen bis max. 5 User ist das durchaus 
praktikabel. Nicht aber in einer Firma mit 150 Usern. Primärer Sinn 
einer Domänenstruktur ist die zentrale Nutzerverwaltung. Egal wieviele 
Clients und Server das Netzwerk umfaßt, ein Benutzer muß nur einmal auf 
dem Domänencontroller angelegt werden und hat dann Zugriff auf alle der 
Domäne angehörenden Rechner (eingeschränkt von der Rechteverwaltung). 
Moderne Systeme arbeiten nicht mehr nur als zentrale Ablage von Dateien 
auf einem einzigen Server. In der Regel existieren mehrere Server für 
verschiedene Zwecke, z.B. Fileserver, Datenbankserver, Anwendungsserver, 
Druckserver und weitere. Wöllte man ohne Domäne arbeiten, müßte man den 
Benutzer auf jedem dieser Server einrichten. Ebenso müßten geänderte 
Kennwörter auf jeder Ressource angepaßt werden. Zentrale Verwaltung von 
Einstellungen per Gruppenrichtlinie wäre ebenfalls nicht möglich, jede 
Einstellung müßte für jeden Benutzer auf jedem Rechner vorgenommen 
werden. Kurz, der Administrationsaufwand ist ohne DC um (mehrere) 
Größenordnungen höher und komplizierter. Kein ITler, der kompetent und 
bei Verstand ist, würde sich das heutzutage noch antun.

Und was die sogenannte "Gängelung" anbetrifft, deren Zweck ist entgegen 
der landläufigen Meinung von Usern nicht die Einschränkung der 
Arbeitsfähigkeit, sondern die Gewährleistung eines Mindestmaßes an 
Sicherheit. Ohne funktionierende IT ist so gut wie keine Firma mehr 
arbeitsfähig. Der Verlust von Daten kann den Ruin der gesamten Firma 
bedeuten. Sicherheit und Bequemlichkeit sind nunmal zwei Enden eines 
Wägebalkens, es können nicht beide oben sein.

Heinz R. schrieb:
> In der aktuellen ct war ein Bericht, das Dmänenserver von MS auch nicht
> mehr so wirklich gerne gesehen sind...

Aha. Wie soll den laut c't dann ein Firmennetzwerk administriert werden?

Ich habe auch privat einen DC (Samab4 basiert). Da hängen diverse Linux 
und Windows Rechner dran. Und über VPN auch der Rest der Verwandschaft 
(Zum Bilder schauen) Benutzerkonto einmal anlegen, schon kann man sich 
überall anmelden.

Zum Thema Gängelung gabs ja auch schon diverse Artikel zum LiMux Projekt 
in München. Die Benutzer(Arbeitnehmer) hätten sich beschwert das Sie 
unter Linux nicht einfach irgendwas installieren könnten - Als ob das 
bei einer anständig aufgesetzten Windows Domäne anders wäre. Der 
Arbeitnehmer hat nichts auf seinem Arbeits PC zu installieren, was nicht 
zur Arbeit gehört. Wenn er eine Software zur Erledigung seiner Aufgaben 
braucht, dann muss er das halt beantragen und dann wird entschieden ob 
er es bekommt.

Andreas M. schrieb:
> Zum Thema Gängelung gabs ja auch schon diverse Artikel zum LiMux Projekt
> in München. Die Benutzer(Arbeitnehmer) hätten sich beschwert das Sie
> unter Linux nicht einfach irgendwas installieren könnten - Als ob das
> bei einer anständig aufgesetzten Windows Domäne anders wäre.

Das war vermutlich auch ein Argument warum LiMux eingestellt worden ist.

Andreas M. schrieb:
> Heinz R. schrieb:
>> In der aktuellen ct war ein Bericht, das Dmänenserver von MS auch nicht
>> mehr so wirklich gerne gesehen sind...
>
> Aha. Wie soll den laut c't dann ein Firmennetzwerk administriert werden?

Wüsste ich auch gerne. Das Einzige was ich in der aktuellen c't finde, 
ist eine Kritik an der Abhängigkeit von Microsoft und deren allgemeine 
"alles zu uns" Cloud-Strategie. Aber nicht AD im Besonderen.

100Ω W. schrieb:
> Das war vermutlich auch ein Argument warum LiMux eingestellt worden ist.

Dazu finde ich in der aktuellen c't was.
https://www.heise.de/select/ct/2020/19/2017712480014841490

Meine Frage nach der Notwendigkeit eines DC bezog sich auch eher darauf, 
das wohl jetzt bei uns fast alle Dienste irgendwo in der Cloud bei 
verschiednenen Hostern liegen, ganz vorne weg z.B. Office365
Es wird keine Server mehr innerhalb der Firma geben, auf die die 
Arbeitsplatzrechner zugreifen

Blechbieger schrieb:
> Dann muss dieser Prozess aber auch zügig funktionieren. Nicht ein
> riesiges, schlecht erklärtes Onlineformular wo man Wochen später eine
> Ablehnung ohne Begründung bekommt.

Das ist das Hauptproblem, es wird nicht zügig funktionieren

Blechbieger schrieb:
> niemals Firmendaten auf privaten Equipment oder
> private Daten auf Firmenequipment

Microsoft (und auch viele Firma) werben doch groß damit, das man mit dem 
Firmenaccount auf bis zu 5 Geräten installieren kann, somit nicht mehr 
jeden Abend sein Notebook mit heim schleppen muss

Stefan B. schrieb:
> Und natürlich hat ein DC auch noch mehr Vorteile, die zum Teil auch
> schon genannt wurden:
> Anmelden auf jedem beliebigen Gerät möglich, automatische Verbindung zu
> den richtigen Druckern, Windows, Outlook usw. ist gleich richtig
> eingerichtet und kann sofort benutzt werden, andere Software wird beim
> ersten Start automatisch nachinstalliert usw.

Ist dem wirklich so?  Also bislang hat der DC bei uns vor allem eines 
getan: über Gruppenrichtlinien lustige Dinge wie die Startseite in 
Chrome zu ändern - im Stil von schaut mal was ich alles kann...

Aber Spezialsoftware, und sei es nur die Arduino IDE, muss jeder 
Anwender trotzdem selber installieren, da geht nichts automatisch

Mit Elektronik  Messgeräten  uC zu arbeiten ohne Adminrechte zu haben 
kann ich mir zugegeben kaum vorstellen

Heinz R. schrieb:
> Aber Spezialsoftware, und sei es nur die Arduino IDE, muss jeder
> Anwender trotzdem selber installieren, da geht nichts automatisch

IT voll zu automatisieren, das kostet Zeit und Geld. In eher kleineren 
Firmen wird man deshalb wohl kaum alle Möglichkeiten ausnutzen (können).

Die Installationspakete für die SW-Verteilung muss auch erstmal jemand 
zusammen bauen und vorallem testen.

Es ist immer leicht zu schimpfen...

Warum soll ein Progarmmierer, der nicht ständig irgendwelche Treiber 
schreibt, oder Windowsservices entwickelt nicht mit Hauptbenutzerrechten 
klarkommen sollen?

Es wird vielleicht auch alles oft und gern dramatisiert oder?

Heinz R. schrieb:
> Das ist das Hauptproblem, es wird nicht zügig funktionieren

Wenn das Paket gescriptet ist und keine Lizenzfragen im Weg stehen, geht 
das bei uns sofort.

Sven L. schrieb:
> Warum soll ein Progarmmierer, der nicht ständig irgendwelche Treiber
> schreibt, oder Windowsservices entwickelt nicht mit Hauptbenutzerrechten
> klarkommen sollen?

zugegeben, weiss ich nicht - habe noch nie mit einem Rechner ohne 
Admin-Rechte gearbeitet

was mir spontan einfällt:

- Programme wie die Beispiel-Arduino-IDE, Notepad++ usw machen meines 
Wissens kein Update, sondern installieren beim Update komplett neu

- mal kurz unterwegs was drucken müssen, über USB an einen beliebigen 
Drucker - vermutlich können da keine Treiber mehr installiert werden?

Heinz R. schrieb:
> - Programme wie die Beispiel-Arduino-IDE, Notepad++ usw machen meines
> Wissens kein Update, sondern installieren beim Update komplett neu
>
Keine Ahnung

> - mal kurz unterwegs was drucken müssen, über USB an einen beliebigen
> Drucker - vermutlich können da keine Treiber mehr installiert werden?
Ist für mich verkraftbar


Man hat halt trotz alle dem immer wieder die Wahl zwischen mehr Freiheit 
oder mehr Sicherheit.

Warum funktioniert denn Ransomware? Weil Rechner mittlerweile so viel 
Rechenleistung mehr hat, das keiner mehr merkt, wenn nebenbei seine 
Festplatte verschlüsselt wird.

Sven L. schrieb:
> Warum funktioniert denn Ransomware? Weil Rechner mittlerweile so viel
> Rechenleistung mehr hat, das keiner mehr merkt, wenn nebenbei seine
> Festplatte verschlüsselt wird.

Wie funktioniert die überhaupt?  was sie macht ist mir schon klar - aber 
ist es wirklich so das ein Win10-Rechner im Netzwerk, sei es jetzt in 
einer Firma, im Hotel, im Flughafen-WLAN usw besser gegen eine Infektion 
durch einen anderen WLAN-Teilnehmer geschützt ist wenn man den Benutzer 
einschränkt?

Nach meinem Verständnis gibt es nur 2 Infektioswege:

- dummer Benutzer klickt auf einen Link / Offfice Dokument mit Makro, 
installiert dubiose Software, dann ist dieser eine Rechner befallen

- andere Rechner werden nur befallen / infizieren sich übers Netzwerk 
durch unentdeckte Softwarefehler / Lücken in Windows, oder ein dummer 
Benutzer hat den Virenscanner ausgeschaltet


Aber lerne gerne dazu

Heinz R. schrieb:
> oder ein dummer Benutzer hat den Virenscanner ausgeschaltet

Oder der dumme Virenscanner hätte es erst 2 Tage später gemerkt, weil er 
erst dann von dem dann längst nicht mehr aktuellen Trojaner hörte.

> gegen eine Infektion durch einen anderen WLAN-Teilnehmer geschützt ist

Remote code execution sind zwar die gefährlichsten Fälle mit 
grossflächiger Auswirkung, aber nicht die häufigsten. Selten ist der 
andere WLAN Teilnehmer das Problem, wenn du nicht in einer kritischen 
Branche bist und SIE wirklich hinter dir her sind. Hauptvektor sind 
Mails.

Sven L. schrieb:
> wenn nebenbei seine Festplatte verschlüsselt wird.

Die ist bei Firmen-PCs uninteressant. Kritisch ist nicht die 
Anwender-Festplatte, sondern was im Netz schreibend ansprechbar ist und 
deshalb verschlüsselt wird.

Lokale Administrationsrechte und privilege escalations sind weniger für 
Ransomware relevant. Die findet auch im User-Kontext genug Futter und 
fällt sehr schnell unangenehm auf. Sondern für Dauergäste 
unauffälligerer Art: Keylogger, Datenausschleusung etc.

A. K. schrieb:
> Oder der dumme Virenscanner hätte es erst 2 Tage später gemerkt, weil er
> erst dann von dem dann längst nicht mehr aktuellen Trojaner hörte.

Ja, es ist ein Katz-und Maus-Spiel, aber wo helfen hier 
Gruppenrichtlinien usw?  Es ist dann einfach das Problem, das eine 
Sicherheitslücke Microsoft-seitig nicht rechtzeitig erkannt wurde?

A. K. schrieb:
> Hauptvektor sind
> Mails.

Auch hier zum besseren Verständnis  - es wird diskutiert das Word und 
Excel-Anhänge eine massive Gefahr sind, es diese Anhänge in Zukunft 
nicht mehr geben wird
Outlook, Word und Excel - alle aus dem MS-Paket - warum unternimmt da MS 
nichts?
Ich behaupte 95% der Dateien brauchen kein VBA, Skripting oder sonst was
Von den 95% die es brauchen brauchen wiederum nur 10% einen direkten 
Dateizugriff?
Es wäre doch ein einfaches, dieses Einfallstor zu schließen?

Ich habs halt gesehen, wie ein Einzelplatz PC ohne Server usw. Opfer 
wurde.

Dann hab ich gelsen, das sich die Ransomware zwischen User und 
Dateisystem legt und im ersten Moment mal alles transparent durchleitet, 
aber eben nebenbei die Daten verschlüsselt, ohne das es der Benutzer 
merkt.

Und wenn fertig, dann wird der Schlüssel weg gesperrt und der Benutzer 
"informiert"

Heinz R. schrieb:
> Outlook, Word und Excel - alle aus dem MS-Paket - warum unternimmt da MS
> nichts?
> Ich behaupte 95% der Dateien brauchen kein VBA, Skripting oder sonst was
> Von den 95% die es brauchen brauchen wiederum nur 10% einen direkten
> Dateizugriff?
> Es wäre doch ein einfaches, dieses Einfallstor zu schließen?

Das mag auf Dich zutreffen, schau Dir die ganzen Automobiler an, was da 
alles mit Excel und mit Makros etc. läuft.

Über PDF-Dateien, Javascript usw. kann man auch viel Blödsinn machen.

Am Ende nehmen die Bösen halt solche Technologien um die ganz bösen 
Dinge nach zu laden.

Heinz R. schrieb:
> Es wäre doch ein einfaches, dieses Einfallstor zu schließen?

Enterprise-Mailscanner suchen in Mails und ggf auch hinter darin 
enthaltenen Links aktive Inhalte und blockieren sie. Weshalb es auch 
keine gute Idee ist, in einer Mail einen Link zu senden, der bereits mit 
Klick drauf was auslöst. Bei dusselig gemachten Mails mit Link zur 
Bestätigung kann es passieren, dass bereits der Scanner diesen Klick 
durchführt und der Empfänger hinterher in die Röhre guckt.

Sven L. schrieb:
> Über PDF-Dateien, Javascript usw. kann man auch viel Blödsinn machen.

Genau deshalb frage ich ja Euch :-) - brauche etwas Futter gegen unsere 
durchdrehende IT im Sicherheitswahn

Neueste Idee ist - in Outlook sind quasi fast alle Anhänge gesperrt - 
wie auch immer das funktionieren mag, bekommt dann der Absender 
wenigstens eine Nachricht?

Dateien sollen nur noch über OneDrive ausgetauscht werden - ist das 
wirklich sicherer? Vielleicht die nächsten 8 Wochen, bis die bösen Buben 
auch diesen Weg nutzen?

Ist es richtig, das bei einem bei Microsoft / Telekom gehosteten 
Office-365 kein Virenscan bei den Mails durchgeführt wird?

Heinz R. schrieb:
> bekommt dann der Absender wenigstens eine Nachricht?

Bei eingehenden Mails wird eher der Empfänger informiert, dass eine Mail 
für ihn zurück gehalten wurde. Den Absender zu benachrichtigen ist 
problematisch, denn die arme Sau, die nun tausend solcher 
Benachrichtigungen kriegt, muss sie nicht verbrochen haben.

Heinz R. schrieb:
> in Outlook sind quasi fast alle Anhänge gesperrt

Wenn die IT das wirklich durchkriegt, dann hat sie das bedeutendste 
Einfallstor recht gut unter Kontrolle bekommen.

A. K. schrieb:
> Wenn die IT das wirklich durchkriegt, dann hat sie das bedeutendste
> Einfallstor recht gut unter Kontrolle bekommen.

Ja, aber was ist so ein gehackter PC gegen ein Menschenleben - deshalb 
kommt dann der Nächste, sperrt alle Werkzeuge weg, der nächste alle 
Firmenfahrzeuge,...

Und irgendwann kommt dann ein ganz anderer, sperrt die Tür zu

Irgendwo muss man leider auch mal bremsen, deshalb meine Fragen hier

Weshalb deine Extrapolation ins Extrem wenig sinnvoll ist. Grad so wie 
das andere Extrem, jedem alle Rechte für alles und vollen Durchgriff auf 
alles zu ermöglichen.

Weshalb man in der Praxis irgendwo zwischendrin landet.

Da gibts aber kein fertiges Rezept für. Eine Bankfiliale muss nicht 
sämtliche Newsletter dieser Weltensphäre abonnieren, während ein 
Medienunternehmen davon lebt. Ein Entwickler wird schon mal EXEs 
verschicken wollen, bei einem Versicherungsangstellten fände ich das 
aber merkwürdig.

Wie weit man Restriktionen treibt, kann also durchaus davon abhängen, ob 
man Brötchen, Versicherungen, Programme oder Nachrichten vertreibt.

@prx:
mal wieder sehr passend geschrieben!


Heinz R. schrieb:
> Ja, aber was ist so ein gehackter PC gegen ein Menschenleben - deshalb
> kommt dann der Nächste, sperrt alle Werkzeuge weg, der nächste alle
> Firmenfahrzeuge,...

Vielleicht hägt an einem Computervirus kein Menschenleben, aber 
vielleicht die Existenz der Firma, damit Dein Gehalt und auch Dein 
Wohlstand.

Aber: Was willst Du denn nun erreichen? Ist der Zustand für Dich so 
untragbar?

Im allerschlimmsten Fall musst Du halt die Firma wechseln, wenn Dir die 
Spielregeln dort nicht mehr passen.

Aber wo anders ist auch nicht alles Gold was glänzt.

IT-Infrastruktur ist Werkzeug, wie man mit dem Werkzeug umzugehen hat, 
entscheidet letztendlich der, der es bezahlt.

Sven L. schrieb:
> Aber: Was willst Du denn nun erreichen? Ist der Zustand für Dich so
> untragbar?

Ja, ist er, hier wird der Bock zum Gärtner gemacht, wir hatten über 
Jahre so Dinge wie von aussen per HTTP erreichbare Server usw

Mag das nicht alles im Detail erklären - aber derjenige der es mit 
verbrochen hat ist jetzt der Retter - es dauert jetzt mindestens 4 
Wochen bis man alles wiederhergestellt hat - dauert es dann nur 3 ist er 
der Gott

Sven L. schrieb:
> Im allerschlimmsten Fall musst Du halt die Firma wechseln, wenn Dir die
> Spielregeln dort nicht mehr passen.

Ja, entsprechende Überlegungen laufen, aber nicht aus reiner 
Unzufriedenheit, sondern weil gerade einige zuschauen müssen wie Ihr 
Werk aus Jahrzenten kaputt gemacht wird, IT ist nicht mehr der 
Dienstleister im Hintergrund sondern sagt wie eine Firma heutzutage 
funktioniert

Sven L. schrieb:
> IT-Infrastruktur ist Werkzeug, wie man mit dem Werkzeug umzugehen hat,
> entscheidet letztendlich der, der es bezahlt.

Deshalb mus ich wohl leider die Chefs bitten entweder einen neutralen 
Berater hinzuzuholen und unbedingt nur mit diesem direkt zu sprechen- 
oder aber Foren wie dieses zu lesen

Wobei - gibt es diese Berater überhaupt? Wir haben jetzt solche Experten 
da, diese werden mit einem fürstlichen Tagessatz bezahlt - die haben 
doch gar kein Interesse dran, nach 2 Tagen zu sagen, alles ok, sondern 
bauschen das Problem aus Eigeninteresse immer noch weiter auf?

Bin gespannt wann alle Tastaturen und Displays getauscht werden, auch da 
könnte ja theoretisch gelauscht werden

Unser Produkt ist übrigens eines, bei dem  99% der Mails, Datenbanken 
usw öffentlich sein könnten, uns würde kein Schaden entstehen

Wir haben keine geheimen Technologien oder ähnliches

Oben fängst du mit Ransomware an, nun bist du bei Firmenspionage. Das 
sind dann doch recht verschiedene Spektren der IT. Bist du sicher, dass 
es dir um Antworten auf Fragen geht? Oder muss bloss der Frust raus?

Alles gut, alles geklärt

Danke für Eure Aufklärung

mh schrieb:
> In diesen andren Welten, muss man manchmal mehrere Wochen warten,
> bis die eine Bibliothek installiert wird.

Und der Personaler hat gefälligst keine Bibliotheken zu installieren. 
Der Kundenservice auch nicht. Der Vertriebler schon garnicht.

Bei uns können Softwareentwickler lokale Admin-Rechte beantragen. Im 
Gegenzug wird die IT bei auftretenden Problemen nicht tiefgreifend 
debuggen, sondern im Zweifelsfall auf den Nutzer zeigen und das Gerät 
neuinstallieren. (Ausnahmen bestätigen die Regel.)

Man kann das auch zweiteilen. Entwickler kriegen VMware WS, genug RAM, 
eine zweite Netzwerkkarte und eine USB-Disk.

Die virtuelle Welt erlaubt ihnen alles mit selbst installierten VMs, 
aber dafür sind sie in einem abgekoppelten Netz mit viel Freiheit nach 
aussen und wenig nach innen unterwegs und müssen für den Backup der VMs 
auf die USB Disk selber sorgen.