Das ist klar. Das Backup brauchst du aber sowieso falls da komplett was abraucht. Übrigens nutzen wir doch snapshots, also die Schattenkopien, eine Funktion innerhalb einer Windows-VM. Für den schon erwähnten Fall "ich hab da eben ne Datei gelöscht" ist das ausreichend und man kann sehr schnell eine Vorgängerversion wiederherstellen. Aber ich nutze keine snapshot Funktionen innerhalb der Linux-VMs (weder das snapfähige Dateisystem noch LVM).MSfree hat geschrieben:26.08.2022 11:47:33Wenn bei einer Verschlüsselungsattacke der komplette Datenbestand verschlüsselt wird, brauchst du aber den doppelten Platz für deine Snapshots. Ist der wirklich vorhanden? Wenn nicht, sind wir wieder beim lahmen Backup.
Update-Dokumentation
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Update-Dokumentation
Re: Update-Dokumentation
Interessanter Thread, da hänge ich mich mal ran, hatte jemand schon mal so ein Schadensfall?
Wir arbeiten auch immer wieder an unseren Netzen, derzeit versuche ich die ganzen Clients in noch mehr kleinere Subnetze zu stecken.
Wenn ich sehe was manche Firmen in Corona Zeiten gemacht haben* ist es ein wunder das nicht mehr passiert(e).
* einfach irgend ein VPN Client auf die Workstation und mit nach Hause nehmen
Wir arbeiten auch immer wieder an unseren Netzen, derzeit versuche ich die ganzen Clients in noch mehr kleinere Subnetze zu stecken.
Wenn ich sehe was manche Firmen in Corona Zeiten gemacht haben* ist es ein wunder das nicht mehr passiert(e).
* einfach irgend ein VPN Client auf die Workstation und mit nach Hause nehmen
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: Update-Dokumentation
Die Schattenkopien von Windows sind leider so eine Sache. Habe schon von Ransomware Attacken gehört die diese auch gleich gelöscht haben.cosinus hat geschrieben:26.08.2022 11:54:46Das ist klar. Das Backup brauchst du aber sowieso falls da komplett was abraucht. Übrigens nutzen wir doch snapshots, also die Schattenkopien, eine Funktion innerhalb einer Windows-VM. Für den schon erwähnten Fall "ich hab da eben ne Datei gelöscht" ist das ausreichend und man kann sehr schnell eine Vorgängerversion wiederherstellen. Aber ich nutze keine snapshot Funktionen innerhalb der Linux-VMs (weder das snapfähige Dateisystem noch LVM).MSfree hat geschrieben:26.08.2022 11:47:33Wenn bei einer Verschlüsselungsattacke der komplette Datenbestand verschlüsselt wird, brauchst du aber den doppelten Platz für deine Snapshots. Ist der wirklich vorhanden? Wenn nicht, sind wir wieder beim lahmen Backup.
Snapshots sollte man am Storage System haben. Da der AD User dann keine Berechtigung hat um die Daten zu löschen. Natürlich brauchen Snapshots Platz aber lieber in den Platz zu investieren und im Fall einer Attacke einfach wieder restoren zu können.
Den richtigen Snapshot findet man eigentlich recht einfach. Das ist meistens der vor dem Snapshot mit der großen Changerate.
Wir arbeiten da mit NetApps und sichern alles noch mit Snapvault bzw Snapmirror auf einen anderen Standort. Ich kenne große Firmen die von Windows CIFS Server zu NetApp migriert sind um sich vor Ransomware Attacken zu schützen.
Da gibt es eine echt nette Software die alle Zugriffe auditiert und den CIFS/NFS Traffic nach verdächtigen Pattern scannt und den User bei abnormalen Verhalten blockiert.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Update-Dokumentation
Ich weiß. Das ist ja auch nur ich sagmal nice2have, deswegen haben wir ja auch noch das echte Backup mit Veeam. Aver auf den Windows-Servern arbeitet keiner direkt mit RDP oder so, sondern nur als Netzlaufwerk. Und selbstverständlich hat keiner Adminrechte auf den Windows-Servern, die brauchst du ja um die Schattenkopien zu killen.hec_tech hat geschrieben:26.08.2022 14:07:32Die Schattenkopien von Windows sind leider so eine Sache. Habe schon von Ransomware Attacken gehört die diese auch gleich gelöscht haben.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Update-Dokumentation
Wie schottest du die voneinander denn ab? Und wie stellst du sicher, dass jeder noch "alles" machen kann, egal in welchem Subnet er ist?slu hat geschrieben:26.08.2022 13:39:20Wir arbeiten auch immer wieder an unseren Netzen, derzeit versuche ich die ganzen Clients in noch mehr kleinere Subnetze zu stecken.
Re: Update-Dokumentation
Viel schlimmer als "irgendein" VPN fand ich die Leute, die noch schnell vor dem Lockdown TeamViewer auf ihren Arbeitsplatzrechner installiert und dauerhaft aktiviert haben und von zuhause aus mit TeamViewer darauf zugegriffen haben. Das ist nicht nur ein lizenzrechtliches Problem (wobei sich TeamViewer hier sehr kullant gezeigt hat), sondern auch ein sicherheitstechnisches.slu hat geschrieben:26.08.2022 13:39:20* einfach irgend ein VPN Client auf die Workstation und mit nach Hause nehmen
VPN ist eigentlich eine ziemlich sichere Sache, wenn man es selbst hostet. Unser Laden macht das seit mindestens 15 Jahren. Die verwalten aber auch die nötigen Zertifikate und Revocations zentral. Hier gab es aber auch schon immer Leute, die von zuhause aus gearbeitet haben. Mit den Lockdowns waren es halt nur mehr als vorher. Die größte Herausforderung war, genug Hardware zu organisieren, die Rechner müssen halt alle den Vorgaben der Firma entsprechen, in die Windowsdomäne integriert sein und Snakeoil (AV-Software) installiert haben. BYOD ist da von vorn herein ausgeschlossen.
Re: Update-Dokumentation
Die Workstations werden direkt vom Switch in ein VLAN geschoben (Client bekommt davon nichts mit und kann es nicht beeinflussen). Eine Kommunikationcosinus hat geschrieben:26.08.2022 14:13:39Wie schottest du die voneinander denn ab? Und wie stellst du sicher, dass jeder noch "alles" machen kann, egal in welchem Subnet er ist?
kann dann nur noch über den Router statt finden.
Der Server ist damit immer noch der selbe, sitzt aber hinter dem Router mit Firewall.
Regel gibt es so wenig wie möglich, lieber beschwert sich mal jemand das was nichts geht und wir überlegen uns wie wir das in den Ablauf bekommen.
Eine direkte Kommunikation der Clients ist damit nur noch im Subnetz möglich und das sind sehr wenige.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: Update-Dokumentation
Auf ideen kommen die Leute.MSfree hat geschrieben:26.08.2022 14:17:27Viel schlimmer als "irgendein" VPN fand ich die Leute, die noch schnell vor dem Lockdown TeamViewer auf ihren Arbeitsplatzrechner installiert und dauerhaft aktiviert haben und von zuhause aus mit TeamViewer darauf zugegriffen haben.
Ja so machen wir das auch schon 10 Jahre, für uns hat HomeOffice technisch kein Unterschied gemacht.MSfree hat geschrieben:26.08.2022 14:17:27VPN ist eigentlich eine ziemlich sichere Sache, wenn man es selbst hostet. Unser Laden macht das seit mindestens 15 Jahren.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Update-Dokumentation
Ich seh da nicht so wirklich den Sicherheitsgewinn. Klar, die Server sind auch intern hinter einer Firewall, aber das ändert doch nichts daran, dass du die Ports öffnen musst für Dienste, die benötigt werden. Was übersehe ich da?slu hat geschrieben:26.08.2022 16:04:42Eine direkte Kommunikation der Clients ist damit nur noch im Subnetz möglich und das sind sehr wenige.
Re: Update-Dokumentation
Du übersiehst Ransomware die das LAN (meistens das eigene Subnetz) abscannt und Windows-Sicherheitslücken für Angriffe ausnutzt. Client-2-Client Attacken halt.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Update-Dokumentation
Bei uns haben die Windows-Clients unter sich keine Freigaben und u.a. ist 445/TCP per Gruppenrichtlinie in der Windows-Firewall auch gesperrt. Nur die Domaincontroller und zwei weitere Windows-Server können dadrauf zB auf die administrativen Freigaben. Oder geht die ransomware über andere Ports? Ansonsten ist bei uns nur noch eingehend das für die Clients offen:bluestar hat geschrieben:26.08.2022 20:24:03Du übersiehst Ransomware die das LAN (meistens das eigene Subnetz) abscannt und Windows-Sicherheitslücken für Angriffe ausnutzt. Client-2-Client Attacken halt.
1900/UDP (Bluetooth)
3389/TCP (RDP)
7680/TCP (Übermittlungsoptimierung DOSVC)
Re: Update-Dokumentation
Ja genau um das geht es, das Netzwerk soll so klein wie möglich sein.bluestar hat geschrieben:26.08.2022 20:24:03Du übersiehst Ransomware die das LAN (meistens das eigene Subnetz) abscannt und Windows-Sicherheitslücken für Angriffe ausnutzt. Client-2-Client Attacken halt.
Wir haben z.B. die Drucker in ein extra Netz gesteckt, die Clients können nur über den LPR,.. Port auf den Drucker.
So ein Drucker/Scanner/Kopierer ist heute ein komplexer Computer der oft keine regelmäßigen Updates vom Hersteller bekommt.
Dann haben wir Raspberry's als Anzeigeterminals, dort ist zwar nur SSH mit Key offen aber warum müssen die im LAN mit den Workstations hängen, auch in einem extra Subnetz ohne Internetzugang.
Man "darf" nicht denken die Windows Workstations haben doch eine Firewall Rule, Du musst wie ein Schädling denken:
* sind die Switch Ports gesichert?
* kann jemand ein anderes OS auf der Hardware booten?
* kann jemand einfach ein AccessPoint an einen LAN Port hängen?
--> super Gau der Zugriff von außen wäre möglich und ein unverschlüsseltes WLAN würde dein LAN in "die Welt" tragen
* lässt ein Benutzer einfach den Teamviewer offen und kopiert Daten?
Es gibt so viele Möglichkeiten wenn man Schaden anrichten möchte und mit einem kleinen Netz macht man es doch etwas schwieriger (auch gegen unabsichtlich angerichten Schaden).
Wir sind ein Betrieb mit unter 100 Arbeitsplätzen, da kann man anders Bauen als z.B. mit 600 Clients.
Ich denke DEN Plan gibt es nicht, auch wenn das manche (IT unwissenden) immer wieder meinen.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: Update-Dokumentation
Nein den Server macht es nicht sicher aber Du kannst den Traffic zwischen den Clients viel besser kontrollieren.cosinus hat geschrieben:26.08.2022 20:19:51Ich seh da nicht so wirklich den Sicherheitsgewinn. Klar, die Server sind auch intern hinter einer Firewall, aber das ändert doch nichts daran, dass du die Ports öffnen musst für Dienste, die benötigt werden. Was übersehe ich da?
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Update-Dokumentation
Ist auch immer die Frage welchen Aufwand man fahren will und was der Betrieb auch bereit ist mitzumachen, wie viele Admins der Betrieb hat und wie die ausgelastet sind.slu hat geschrieben:27.08.2022 12:19:26Ich denke DEN Plan gibt es nicht, auch wenn das manche (IT unwissenden) immer wieder meinen.